Slack исправил серьезную ИБ-уязвимость

Эвана Кустодио (Evan Custodio) обнаружил критическую уязвимость информационной безопасности в мессенджере для корпоративного общения Slack.

Эксплуатация бага позволяла злоумышленникам создавать автоматические боты, которые могли бы атаковать уязвимый аккаунт Slack, при этом перехватывая все активные сеанс жертвы, а также сообщения, элементы кода и иные доступные данные.

При этом не стоит забывать, что Slack интегрирован с десятками сервисов для разработки, такими как: GitHub, Dropbox, Sentry, Google Docs,Hangouts, Twitter, Trello, MailChimp, Jirа и другими, что делает Slack самым популярном в мире мессенджером для IT компаний, который используется между продуктовыми командами при написании кода и разработке дополнительного функционала.

Как выглядит цепочка эксплуатации уязвимости

• HTTP-запрос к CTLE к произвольному запросу (отравленный сокет) на slackb.com
• Запрос с помощью хиджекинга в виде HTTP-запросов вместо использования GET запросов по протоколу HTTPS://<URL-адрес> на slackb.com
• Запрос GET https: / / <URL> HTTP / 1.1 на сокете backend сервера приводит к 301 перенаправлению на https: / / <URL> с slack cookies (самое главное-D cookie)
• Производится кража cookie жертв, используя сервер collaborator в качестве URL в атаке.
• Далее, накапливается огромное количество файлов cookie сеансов d и производится кража всех данные пользователя (компании, использующую Slack).

Эван Кустодио сообщил об уязвимости в рамках ИБ мероприятия Slack HackerOne, за что получил награду в объеме 6500 долларов США, а команда мессенджера устранила брешь в течение 24 часов после получения сообщения о ней.