Co to jest CVE i czemu warto zgłaszać podatności

Szacunkowy czas czytania: 2 minut

 

7 września 2019 uczestniczyłam w świetnym szkoleniu Stacji IT w Krakowie. Dotyczyło ono testów bezpieczeństwa dla testerów. Na szkoleniu został poruszony temat zgłaszania podatności, które znajdywane są w trakcie pentestów lub po prostu podczas zwykłego użytkowania.

Czym jest CVE?

Mowa o CVE – Common Vulnerabilities and Exposures, czyli słownik identyfikatorów nadanych podatnościom i zagrożeniom. Projekt tworzenia i utrzymywania słownika jest współfinansowany przez biuro Cybersecurity and Communications Departamentu Bezpieczeństwa Wewnętrznego Stanów Zjednoczonych. W skrócie jest to po prostu baza podatności, którą można znaleźć tutaj. Obecnie znajduje się w niej 124 706 wpisów (dla porównania w marcu 2018 było to 97 600 wpisów).

Czym według słownika jest podatność? Jest to słabość danego systemu (np. wynikająca z błędów), która może bezpośrednio doprowadzić do kompromitacji systemu (np. włamania).
Czym jest zagrożenie? To naruszenie polityki bezpieczeństwa, które może, ale nie musi doprowadzić do kompromitacji systemu, a jednocześnie jest warte odnotowania.

Jak zgłosić podatność?

Podatność lub zagrożenie można zgłosić na stronie projektu CVE. Jeśli dotyczą one konkretnej firmy np. Apple lub Adobe, należy zgłosić problem bezpośrednio do nich (kontakty są podane na liście). Jeśli problem jest ogólny i nie da się go przyporządkować do danego CNA (CVE Numbering Authority – Organ Numeracji CVE, czyli mogący nadawać identyfikatory CVE), to zgłoszenie można wysłać bezpośrednio przez stronę CVE.

Co to daje?

Zgłoszenie podatności to nie tylko rozprzestrzenianie wiedzy na ten temat, ale także baza danych dla badaczy z całego świata. Zgłoszone „własnoręcznie” podatności mogą być też dorobkiem pentesterów, którym mogą się chwalić.

Bardzo prosty pentest 🙂

Na fali nowych informacji, które zebrałam na szkoleniu, postanowiłam przetestować dodawanie komentarzy na stronie, którą sama wykonałam, a która jest oparta na WordPressie. Było to 7 września 2019. Okazało się, że taka podatność rzeczywiście jest – użyłam najprostszego sposobu, czyli opublikowałam w komentarzu skrypt JavaScriptowy

<script>alert(1)</script>

Jest to atak typu XSS czyli wykonanie kodu w przeglądarce użytkownika. Gdy dodałam komentarz z w/w skryptem, każdy użytkownik wchodzący na stronę z komentarzem, mógł zobaczyć alert (patrz screen). Jeśli ktoś chciałby zaatakować użytkowników portalu, to mógłby tam wkleić z powodzeniem złośliwy kod.

Niestety z braku czasu postanowiłam się zająć naprawą tej podatności później. Sprawa nie była nagląca, ponieważ na stronie komentarze mogą zamieszczać tylko zarejestrowani użytkownicy, którzy już wcześniej napisali co najmniej jeden, zatwierdzony ręcznie, komentarz.
Okazało się, że podatność została już załatana przez WordPress w wersji 5.2.3., która wyszła 5 września 2019 (rzeczywiście zaraz po aktualizacji, problem zniknął). Identyfikator dla tej podatności to CVE-2019-16218 z dnia 11 września 2019.

ProTip: podatności w WordPressie zgłasza się przez stronę HackerOne