Podatność w aplikacji Tchap Chat obnażyła Francuski rząd

Główna idea Tchap bardzo szybko upadła. Aplikacja była przeznaczona do wyłącznego użytku przez osoby pracujące we francuskim rządzie i miała na celu ograniczenie możliwości tworzenia kont tak, aby tylko osoby z e-mailami rządowymi mogły korzystać z platformy. Jednak szybko się okazało, że tak nie jest.

Francuski badacz bezpieczeństwa o pseudonimie „Eliot Alderson – fs0c131y” pobrał aplikację zaraz po jej uruchomieniu oraz wkrótce mógł uzyskać do niej nielegalny dostęp. Chociaż aplikacja została skonfigurowana tylko do akceptowania adresów e-mail w domenie gouv.fr oraz elysee.fr, użytkownik fs0c131y wykrył, iż każdy e-mail zawierający w ciągu domenę rządową zostanie zaakceptowany. Tak więc adres taki jak myemail@gmail.com może być zmieniony na myemail@gmail.com@gouv.fr oraz zostanie rozumiany przez aplikację jako adres rządowy, uprawniony do jej używania.

Nie byłoby to wielkim problemem gdyby właściciel nielegalnego konta nie był w stanie uzyskać dostępu do głównego interfejsu użytkownika Tchap. Niestety tak nie było. Aplikacja rozumiała tylko pierwszą część wprowadzonego adresu e-mail – myemail@gmail.com i to właśnie na niego wysyłała wiadomość z potwierdzeniem założenia konta. Zasadniczo ta wada umożliwiła korzystanie z Tchap każdemu kto ma adres e-mail, co pozwoliło na dostęp do wymiany poufnych wiadomości.

Luka powstała w wyniku niewłaściwego oczyszczania danych dostarczonych przez użytkownika w module przetwarzania poczty e-mail stworzonym w Python’ie – email.utils. Problem z tym modułem jest znany i po raz pierwszy został wykryty 19 lipca 2018 roku. Jednak błąd ten nie został naprawiony do dnia wydania aplikacji Tchap.

Podatność oznaczona jako CVE-2019-11340 wskazuje, że aplikacja Matrix Sydent jest podatna na ataki. Prawdopodobnie niebawem ulegnie to zmianie, nieuniknione jest, że wiele aplikacji, które używają email.utils, również jest zagrożonych. Na szczęście problem, który wystąpił w Matrix udało rozwiązać się w kilka godzin. Wiedząc jednak, że podatność ta wpływa również na inne aplikacje, pytanie jak długo zajmie im naprawa kodu źródłowego, skoro exploit został znaleziony tydzień temu?

Istnieją oczywiste obawy związane z niepowodzeniem uruchomienia aplikacji Tchap. Gdyby ktoś o bardziej złośliwych zamiarach, niż użytkownik o nicku „fs0s131y” odkrył lukę, mógłby uzyskać dostęp do informacji udostępnianych w „pokojach publicznych” aplikacji. Jeżeli posiadacie Państwo aplikację, która wykorzystuje moduł email.utils do rejestracji użytkowników przy pomocy firmowych maili warto mieć świadomość o podatności, takiej jak CVE-2019-11340.

Skybox posiada bazę podatności, która jest aktualizowana z wielu źródeł publicznych i prywatnych. Kiedy pojawia się nowa luka bezpieczeństwa zapewniamy, że zostanie opublikowana w przeciągu maksymalnie 24 godzin. Mamy wiele wpisów CVE, co oznacza, że baza jest zwykle bardziej wszechstronna niż NVD (National Vulnerability Database). Kiedy pojawiają się nowe informację – tak jak w przypadku aplikacji Tchap – wpis w bazie zostanie zaktualizowany.

Ważne jest, aby wiedzieć, które luki występują w Państwa sieci. CVE-2019-11340 może być jedną z nich. Jeśli jednak nie jesteście Państwo w stanie zidentyfikować podatności w sieci oraz zrozumieć kontekstu swojej sieci, co określa sposób w jaki ich wykorzystanie może wpłynąć na Państwa firmę, zdefiniowanie skutecznej strategii przeciwdziałania jest prawie niemożliwe. Tchap był w stanie naprawić wykrytą lukę prawie natychmiast po jej znalezieniu. W przypadku większości wykorzystywanych podatności nie ma to miejsca. Po to, aby być bezpiecznym przed cyberatakami musimy mieć wgląd w całą swoją infrastrukturę i mieć świadomość konsekwencji każdej luki. Bez tego typu inteligencji nasze środowisko IT stoi otworem przed atakującymi.

Źródło: www.skyboxsecutity.com