Slack最终在其桌面应用程序中披露了RCE缺陷
Evolution Gaming的安全工程师Oskars Vegeris披露了Slack中的多个漏洞,攻击者可以通过该漏洞上传文件并与另一个Slack用户或频道共享,以在受害者的Slack应用上触发利用。
2020年1月与Slack私下共享了详细的书面内容,其中提到了有关该漏洞的详细信息。根据研究人员的说法,“通过任何应用程序内重定向-逻辑/开放式重定向,HTML或javascript注入,都可以在Slack桌面应用程序内执行任意代码。此报告演示了一种经过精心设计的利用,包括HTML注入,安全控制绕过和一个RCE Javascript有效负载。此漏洞已经在可用于桌面版(4.2、4.3.2)(Mac / Windows / Linux)的最新Slack上进行了测试。”
Vegeris提供了一个5秒钟的演示视频,其中包含HackerOne的演示内容,展示了他如何使用JSON文件触发通过Slack桌面应用程序启动本机计算器应用程序。该报告本周由公司公开。它显示了工程师列出的多种方法来利用Slack应用程序。
此漏洞可导致用户计算机而非Slack的后端执行任意代码。 Files.Slack.com代码中的弱点使攻击者可以实现HTML注入,任意代码执行和跨站点脚本编写。
Vegeris仅发布了一项HTML / JavaScript概念验证漏洞,展示了如何通过将有效负载上传到松弛状态来轻松启动本机计算器应用程序。
当将此HTML文件的URL注入到Slack JSON帖子表示形式的标签的区域时,将启用设备上的一键式RCE。工程师说:“ area标签中的URL链接将包含针对Slack Desktop应用程序的HTML / JS漏洞,该漏洞将执行攻击者提供的任何命令。”
Vegeris在另一条评论中说:“以前报告的按键记录也可能适用,”请参阅Matt Langlois在2019年提交的错误报告。
对于调查结果,工程师仅获得了仅1,750美元的奖励。许多推特人士说,如果工程师在非法的暗网市场上出售该漏洞利用程序,他将获得超过1,750美元的收入。用户抨击Slack的情况有多种,例如:
黑客和OWASP ASVS标准的合著者Daniel Cuthbert在Twitter线程中说:“松弛,成千上万的人用于关键任务设计聊天,DevOps,安全性,合并和收购,列表无穷无尽。该研究人员发现的缺陷导致在用户计算机上执行任意命令。TL; DR很棒。”
Cuthbert恳求Slack支付正确的费用:“在所有这些努力中,他们获得了1750美元的奖励。十七万零五美元。因为在exploit.in上这将价值更大。”
该公司甚至在两个月前发布的促销博客中甚至忘记了Vegeris的信誉。此外,该公司没有透露漏洞的详细信息,而是在当时庆祝了其应用程序沙箱功能。
这是当Vegeris要求HackerOne公开披露调查结果时,该公司开始真诚的道歉。
莱德的报告说:“我叫Larkin Ryder,我目前在Slack担任临时首席安全官。@ brandenjordan使我意识到这一失误,我写信表示诚挚的歉意。非常感谢您为使Slack更安全而投入的时间和精力。”
他继续说:“虽然安全团队没有撰写此博客文章,并且作者对您在H1的工作不了解,但我们应该采取额外的步骤,以确保所有对在此领域内的改进工作做出贡献的人都得到认可。我将进行调查对我们的博客文章进行适当的更新…再次,对于我们的任何失误,我感到非常抱歉。”
目前,这些漏洞已得到修补。报告刚过去五周。