Joel
Inleiding
Tijdens een recent beveiligingsonderzoek is een kritieke kwetsbaarheid geïdentificeerd in de LatePoint-plugin voor WordPress, die van invloed is op versies tot en met 4.9.9. Deze kwetsbaarheid, gecategoriseerd onder CVE-2024-2472, heeft een CVSS-score van 9.1 (Kritiek) gekregen vanwege de ernstige gevolgen voor ongeautoriseerde toegang tot en wijziging van gegevens. De kwetsbaarheid ontstaat door een ontbrekende capaciteitscontrole in de functie start_or_use_session_for_customer, die gevoelige informatie blootstelt en ongeautoriseerde acties door aanvallers mogelijk maakt. De fout werd ontdekt door beveiligingsonderzoekers Gharib Sharifi en Joel Aviad Ossi, waarmee de potentiële risico's van deze plugin werden benadrukt.
Beschrijving van de Kwetsbaarheid
De LatePoint-plugin voor WordPress faciliteert het boeken en beheren van afspraken. De geïdentificeerde kwetsbaarheid is een Insecure Direct Object Reference (IDOR) die wordt veroorzaakt door onjuiste omgang met sessiecookies. Bij het boeken van een dienst, zoals een kappersafspraak, wijst de plugin een sessiecookie toe aan de gebruiker. Deze cookie bevat een numerieke waarde die rechtstreeks correleert met de sessie van de gebruiker en hun persoonlijke informatie.
Het kritieke probleem ligt in de wijzigbare aard van deze cookie-waarde. Een aanvaller kan het numerieke deel van de cookie manipuleren (bijvoorbeeld 6606 veranderen in 6605) om ongeautoriseerde toegang te krijgen tot sessies van andere gebruikers. Dit kan leiden tot blootstelling van gevoelige persoonlijke informatie, waaronder namen, achternamen, geboortedata en telefoonnummers. Bovendien kan een aanvaller, als de website het beheer van afspraken toestaat, afspraken wijzigen, annuleren of maken onder de identiteit van een andere gebruiker.
Proof of Concept
Om de kwetsbaarheid te demonstreren, overweeg de volgende proof of concept:
- Initiatie van Gebruikerssessie: Een gebruiker bezoekt een website die de LatePoint-plugin gebruikt en boekt een dienst, waarbij een sessiecookie wordt ontvangen. Bijvoorbeeld, een klant genaamd John Doe boekt een afspraak en krijgt een cookie met de volgende waarde:
GebruikerID||Tijdstempel||Hash
Voorbeeldwaarde voor wijziging:
5%7C%7C1703097251%7C%7C7c8c3c2ca3e8f499583a474cd292c0767eb4559ae159e5477b8e7340b2eb8295
- Cookie Manipulatie: Een aanvaller onderschept en wijzigt het GebruikerID-gedeelte van de cookie-waarde om over te schakelen naar een andere gebruikerssessie. Bijvoorbeeld,
5veranderen in1:
1%7C%7C1703097251%7C%7C7c8c3c2ca3e8f499583a474cd292c0767eb4559ae159e5477b8e7340b2eb8295
- Ongeautoriseerde Toegang: De aanvaller ververst de pagina, waardoor toegang wordt verkregen tot de eerder ingevoerde gegevens en de functionaliteiten voor afsprakenbeheer van de gewijzigde gebruikerssessie. Deze ongeautoriseerde toegang kan persoonlijke informatie onthullen en de aanvaller in staat stellen afspraken te manipuleren.
Gedetailleerd Onderzoek en Impact
De kwetsbaarheid werd voor het eerst ontdekt door Gharib Sharifi en verder ontwikkeld tot een volledige proof-of-concept door Joel Aviad Ossi. Hun onderzoek toonde de potentiële impact op gevoelige betalingsinformatie (PII) aan, inclusief de exfiltratie van creditcardgegevens. Deze samenwerking benadrukte de ernstige gevolgen van deze kwetsbaarheid, wat resulteerde in een kritieke impactscore van 9.1 door Wordfence.
Uitleg over de Exploit
Om misbruik te voorkomen, is het exploit-script dat is gebruikt om deze kwetsbaarheid te demonstreren niet inbegrepen in dit blog. Hier is echter een uitleg van de functionaliteit:
Initialisatie en Setup: Het script zet een sessie op en vraagt de gebruiker om de doelwebsite in te voeren.
Cookie Handling: Het script stuurt een verzoek naar de doelwebsite om de originele sessiecookie te verkrijgen. Het wijzigt vervolgens het GebruikerID-gedeelte van de cookie om door verschillende gebruikerssessies te itereren.
Gelijke uitvoering: Met behulp van een thread pool verwerkt het script gelijktijdig meerdere gebruikers-ID's om het exploitatieproces te versnellen.
Gegevens Extractie: Voor elke gewijzigde sessie stuurt het script verzoeken om gevoelige informatie op te halen, waaronder namen, e-mailadressen, creditcardnummers, vervaldatums en beveiligingscodes. De geëxtraheerde gegevens worden vervolgens in een bestand opgeslagen.
Deze uitleg benadrukt hoe een aanvaller mogelijk hele databases met gevoelige informatie, waaronder creditcardgegevens, zou kunnen dumpen door de kwetsbaarheid in de LatePoint-plugin te misbruiken.
Herstel
De kwetsbaarheid is gepatcht in versie 4.9.9.1 van de LatePoint-plugin. Gebruikers wordt sterk aangeraden om naar deze versie of nieuwere gepatchte versies bij te werken om het risico van ongeautoriseerde toegang en gegevensblootstelling te verminderen.
- Gepatchte Versie: 4.9.9.1
- Getroffen Versies: <= 4.9.9
Uitzondering
De exploit werkte niet voor plugingebruikers wanneer de instelling "Gebruik WordPress-gebruikers als klanten" was uitgeschakeld.
Conclusie
De ontdekking en mitigatie van de IDOR-kwetsbaarheid in de LatePoint-plugin benadrukt de kritieke noodzaak van rigoureuze beveiligingscontroles bij softwareontwikkeling. Deze casus dient als een herinnering aan de potentiële risico's die gepaard gaan met onveilige sessiebeheer en het belang van het implementeren van juiste capaciteitscontroles om gevoelige informatie te beschermen. Gebruikers van de LatePoint-plugin dienen snel bij te werken naar de nieuwste versie om hun gegevens te beschermen en veilige operaties te handhaven.
Voor verdere details en technische inzichten, raadpleeg de gepubliceerde rapporten van de ontdekkers en de Wordfence Intelligence-gebruikersinterface.
CVSS Risco Tabel
