Il Red Team Research di TIM emette 7 CVE delle quali 3 con score 9,8 su VDESK di Live Box

Redazione RHC : 21 Aprile 2023 07:54

Durante un’analisi di sicurezza effettuata su alcuni prodotti di LiveBox, il laboratorio di ricerca 0-day di TIM, il Red Team Research (RTR), ha rilevato diverse vulnerabilità sul software di Collaboration vDesk.

Comunicato tempestivamente da RTR all’azienda attraverso il processo di Coordinated Vulnerability Disclosure (CVD), LiveBox ha prontamente emesso le fix di sicurezza sull’applicazione.

Di seguito l’elenco completo delle CVE Emesse su LiveBox:

Codice CVE	CVSSv3	Tipologia
CVE-2022-45172	9.8	Multiple Improper Access Control- CWE-284
CVE-2022-45173	9.8	Improper Authentication (Bypass Two-Factor Authentication – Lack of Server-Side Validation) – CWE-287
CVE-2022-45174	9.8	Improper Authentication (Bypass Two-Factor Authentication for SAML Users – Bad Backup Code Check)- CWE-287
CVE-2022-45178	8.8	Improper Access Control- CWE-284
CVE-2022-45175	6.5	Insecure Direct Object Reference (Cached Files) – CWE-639
CVE-2022-45180	6.5	Improper Access Control- CWE-284
CVE-2022-45170	6.5	Cryptographic Issue (File Encryption API) – CWE-310

SCONTO ESTREMO DEL 50% FINO AL 31 Dicembre sul corso Dark Web & Cyber Threat Intelligence in E-learning version

Il Dark Web e la Cyber Threat Intelligence rappresentano aree critiche per comprendere le minacce informatiche moderne. Tra ransomware, data breach e attività illecite, le organizzazioni devono affrontare sfide sempre più complesse per proteggere i propri dati e le infrastrutture. Il nostro corso “Dark Web & Cyber Threat Intelligence” ti guiderà attraverso i meccanismi e le strategie utilizzate dai criminali informatici, fornendoti competenze pratiche per monitorare, analizzare e anticipare le minacce.

Accedi alla pagina del corso condotto dall'Prof. Pietro Melillo sulla nostra Academy e segui l'anteprima gratuita.

Per un periodo limitato, potrai utilizzare il COUPON CTI-16253 che ti darà diritto ad uno sconto del 50% sul prezzo di copertina del corso
Per ulteriori informazioni, scrivici ad [email protected] oppure scrivici su Whatsapp al 379 163 8765.

Supporta RHC attraverso:

L'acquisto del fumetto sul Cybersecurity Awareness

Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

È importante che le aziende (come in questo caso Live Box) collaborino con la community hacker che scoprono vulnerabilità di sicurezza in modo etico e trasparente sui loro prodotti perché questo consente loro di identificare e correggere le vulnerabilità prima che possano essere sfruttate da malintenzionati, migliorare la sicurezza dei loro prodotti e aumentare la fiducia dei clienti nei confronti dell’azienda.

Inoltre, la collaborazione con gli hacker può portare a innovazioni e miglioramenti nella sicurezza e nella privacy dei prodotti stessi.

Collaboration vDesk

Il software vDesk, è la soluzione dedicata al Digital Workplace e ad una collaboration sicura, concepita per far fronte ad ogni esigenza aziendale di lavoro agile, garantendo massima efficienza, sicurezza e facilità di utilizzo.

Immagine che contiene testo

Descrizione generata automaticamente

Il software di LiveBox comprende ben nove moduli:

vShare: consente la condivisione di file in modo sicuro tramite la crittografia AES 256 BIT;
vMeet: la piattaforma di chat, video chat e videoconferenze;
vPec: un client di posta unico sia per email tradizionali che certificate (PEC);

vFlow: la piattaforma che si occupa della digitalizzazione delle attività automatizzandole, semplifica i flussi di lavoro e gestisce gli asset digitali in tutto l’ecosistema;
vCal: il cloud aziendale;
vPeople: sistema multi user di gestione dei contatti;

vCanvas: digital workplace solution che semplifica l’accesso al network da qualsiasi dispositivo;
vDpA: la piattaforma che consente la firma digitale per contratti e documenti;
v2FA: il sistema di sicurezza per l’accesso al proprio account.

Le CVE emesse dal MITRE

Da quanto si legge sul sito dell’azienda all’indirizzo www.gruppotim.it/redteam, ancora la severity non è stata pubblicata, anche se sul National Vulnerability Database (NVD), la quotazione del National Institute of Technology (NIST) è stata emessa come dai link riportati di seguito.

Nel dettaglio, le vulnerabilità rilevate sono le seguenti:

CVE-2022-45172 – LIVEBOX Collaboration vDesk

Vulnerability Description: Multiple Improper Access Control- CWE-284

Software Version:
NIST: https://nvd.nist.gov/vuln/detail/CVE-2022-45172
CVSv3: 9,8

Severity: Critical
Credits: Andrea Carlo Maria Dattola, Massimiliano Brolli
An issue was discovered in LIVEBOX Collaboration vDesk before v018. Multiple Broken Access Control can occur under the /api/v1/registration/validateEmail endpoint, the /api/v1/vdeskintegration/user/adduser endpoint, and the /api/v1/registration/changePasswordUser endpoint. The web application is affected by flaws in authorization logic, through which a malicious user (with no privileges) is able to perform privilege escalation to the administrator role, and steal the accounts of any users on the system.

CVE-2022-45173 – LIVEBOX Collaboration vDesk

Vulnerability Description: Improper Authentication (Bypass Two-Factor Authentication – Lack of Server-Side Validation) – CWE-287

Software Version:
NIST: https://nvd.nist.gov/vuln/detail/CVE-2022-45173

CVSv3: 9,8
Severity: Critical
Credits: Massimiliano Ferraresi, Massimiliano Brolli

An issue was discovered in LIVEBOX Collaboration vDesk through v018. A Bypass of Two-Factor Authentication can occur under the /api/v1/vdeskintegration/challenge endpoint. Because only the client-side verifies whether a check was successful, an attacker can modify the response, and fool the application into concluding that the TOTP was correct.

CVE-2022-45174 – LIVEBOX Collaboration vDesk

Vulnerability Description: Improper Authentication (Bypass Two-Factor Authentication for SAML Users – Bad Backup Code Check)- CWE-287

Software Version:

NIST: https://nvd.nist.gov/vuln/detail/CVE-2022-45174
CVSv3: 9,8
Severity: Critical

Credits: Antonella Marino, Massimiliano Brolli
An issue was discovered in LIVEBOX Collaboration vDesk through v018. A Bypass of Two-Factor Authentication for SAML Users can occur under the /login/backup_code endpoint and the /api/v1/vdeskintegration/challenge endpoint. The correctness of the TOTP is not checked properly, and can be bypassed by passing any string as the backup code.

CVE-2022-45178 – LIVEBOX Collaboration vDesk

Vulnerability Description: Improper Access Control- CWE-284

Software Version:
NIST: https://nvd.nist.gov/vuln/detail/CVE-2022-45178
CVSv3: 8,8

Severity: High
Credits: Andrea Carlo Maria Dattola, Massimiliano Brolli
An issue was discovered in LIVEBOX Collaboration vDesk through v018. Broken Access Control exists under the /api/v1/vdeskintegration/saml/user/createorupdate endpoint, the /settings/guest-settings endpoint, the /settings/samlusers-settings endpoint, and the /settings/users-settings endpoint. A malicious user (already logged in as a SAML User) is able to achieve privilege escalation from a low-privilege user (FGM user) to an administrative user (GGU user), including the administrator, or create new users even without an admin role.

CVE-2022-45170 – LIVEBOX Collaboration vDesk

Vulnerability Description: Cryptographic Issue (File Encryption API) – CWE-310

Software Version:
NIST: https://nvd.nist.gov/vuln/detail/CVE-2022-45170

CVSv3: 6,5
Severity: Medium
Credits: Luca Borzacchiello, Massimiliano Brolli

An issue was discovered in LIVEBOX Collaboration vDesk before v018. Multiple Broken Access Control can occur under the /api/v1/registration/validateEmail endpoint, the /api/v1/vdeskintegration/user/adduser endpoint, and the /api/v1/registration/changePasswordUser endpoint. The web application is affected by flaws in authorization logic, through which a malicious user (with no privileges) is able to perform privilege escalation to the administrator role, and steal the accounts of any users on the system.

CVE-2022-45175 – LIVEBOX Collaboration vDesk

Vulnerability Description: Insecure Direct Object Reference (Cached Files) – CWE-639

Software Version:

NIST: https://nvd.nist.gov/vuln/detail/CVE-2022-45175
CVSv3: 6,5
Severity: Medium

Credits: Luca Borzacchiello, Massimiliano Brolli
An issue was discovered in LIVEBOX Collaboration vDesk through v018. An Insecure Direct Object Reference can occur under the 5.6.5-3/doc/{ID-FILE]/c/{N]/{C]/websocket endpoint. A malicious unauthenticated user can access cached files in the OnlyOffice backend of other users by guessing the file ID of a target file.

CVE-2022-45180 – LIVEBOX Collaboration vDesk

Vulnerability Description: Improper Access Control (Export of Users)- CWE-284

Software Version:
NIST: https://nvd.nist.gov/vuln/detail/CVE-2022-45180
CVSv3: 6,5

Severity: Medium
Credits: Andrea Carlo Maria Dattola, Massimiliano Brolli
An issue was discovered in LIVEBOX Collaboration vDesk through v018.Broken Access Control exists under the /api/v1/vdesk_{DOMAIN]/export endpoint.A malicious user, authenticated to the product without any specific privilege, can use the API for exporting information about all users of the system (an operation intended to only be available to the system administrator).

Il Red Team Research di TIM

Si tratta di uno tra i pochi centri italiani di ricerca sui bug di sicurezza, dove da diverso tempo vengono effettuate attività che mirano all’identificazione di vulnerabilità non documentate. Le attività condotte dal team, portano ad una successiva emissione di CVE sul National Vulnerability Database degli Stati Uniti D’America, terminato il percorso di Coordinated Vulnerability Disclosure (CVD) con il vendor del prodotto.

Nel corso di 3 anni di attività, abbiamo visto il laboratorio, rilevare moltissimi bug 0-day su prodotti best-in-class e big vendor di valenza internazionale, come ad esempio Oracle, IBM, Fortinet, F5, Ericsson, Red Hat, Nokia, Computer Associates, Siemens, F5, Fortinet, QNAP, Johnson & Control, Schneider Electric, oltre ad altri fornitori su tipologie differenti di architetture software/hardware.

Nel corso del tempo, sono stati emessi oltre 110 CVE, dove oltre 10 risultano con severità Critical (9,8 di score CVSSv3).

Relativamente ad una vulnerabilità rilevata dal gruppo di ricerca sul prodotto Metasys Reporting Engine (MRE) Web Services, del fornitore Johnson & Control, la Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti D’America, ha emesso un avviso di sicurezza riportando come Background i settori quali: “CRITICAL INFRASTRUCTURE SECTORS, COUNTRIES/AREAS DEPLOYED e COMPANY HEADQUARTERS LOCATION”.

Si tratta di una realtà tutta italiana che emette una CVE con costanza, contribuendo in maniera fattiva alla ricerca delle vulnerabilità non documentate a livello internazionale. RTR si sta distinguendo a livello paese sull’elevata caratura delle attività svolte, oltre a contribuire all’innalzamento dei livelli di sicurezza dei prodotti utilizzati da organizzazioni e singole persone.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.