Il Red Team Research di TIM emette 7 CVE delle quali 3 con score 9,8 su VDESK di Live Box

Redazione RHC : 21 Aprile 2023 07:54

Durante un’analisi di sicurezza effettuata su alcuni prodotti di LiveBox, il laboratorio di ricerca 0-day di TIM, il Red Team Research (RTR), ha rilevato diverse vulnerabilità sul software di Collaboration vDesk.

Comunicato tempestivamente da RTR all’azienda attraverso il processo di Coordinated Vulnerability Disclosure (CVD), LiveBox ha prontamente emesso le fix di sicurezza sull’applicazione.

Di seguito l’elenco completo delle CVE Emesse su LiveBox:

Codice CVE	CVSSv3	Tipologia
CVE-2022-45172	9.8	Multiple Improper Access Control- CWE-284
CVE-2022-45173	9.8	Improper Authentication (Bypass Two-Factor Authentication – Lack of Server-Side Validation) – CWE-287
CVE-2022-45174	9.8	Improper Authentication (Bypass Two-Factor Authentication for SAML Users – Bad Backup Code Check)- CWE-287
CVE-2022-45178	8.8	Improper Access Control- CWE-284
CVE-2022-45175	6.5	Insecure Direct Object Reference (Cached Files) – CWE-639
CVE-2022-45180	6.5	Improper Access Control- CWE-284
CVE-2022-45170	6.5	Cryptographic Issue (File Encryption API) – CWE-310

È importante che le aziende (come in questo caso Live Box) collaborino con la community hacker che scoprono vulnerabilità di sicurezza in modo etico e trasparente sui loro prodotti perché questo consente loro di identificare e correggere le vulnerabilità prima che possano essere sfruttate da malintenzionati, migliorare la sicurezza dei loro prodotti e aumentare la fiducia dei clienti nei confronti dell’azienda.

Inoltre, la collaborazione con gli hacker può portare a innovazioni e miglioramenti nella sicurezza e nella privacy dei prodotti stessi.

Collaboration vDesk

Il software vDesk, è la soluzione dedicata al Digital Workplace e ad una collaboration sicura, concepita per far fronte ad ogni esigenza aziendale di lavoro agile, garantendo massima efficienza, sicurezza e facilità di utilizzo.

Il software di LiveBox comprende ben nove moduli:

• vShare: consente la condivisione di file in modo sicuro tramite la crittografia AES 256 BIT;
• vMeet: la piattaforma di chat, video chat e videoconferenze;
• vPec: un client di posta unico sia per email tradizionali che certificate (PEC);
• vFlow: la piattaforma che si occupa della digitalizzazione delle attività automatizzandole, semplifica i flussi di lavoro e gestisce gli asset digitali in tutto l’ecosistema;
• vCal: il cloud aziendale;
• vPeople: sistema multi user di gestione dei contatti;
• vCanvas: digital workplace solution che semplifica l’accesso al network da qualsiasi dispositivo;
• vDpA: la piattaforma che consente la firma digitale per contratti e documenti;
• v2FA: il sistema di sicurezza per l’accesso al proprio account.

Le CVE emesse dal MITRE

Da quanto si legge sul sito dell’azienda all’indirizzo www.gruppotim.it/redteam, ancora la severity non è stata pubblicata, anche se sul National Vulnerability Database (NVD), la quotazione del National Institute of Technology (NIST) è stata emessa come dai link riportati di seguito.

Nel dettaglio, le vulnerabilità rilevate sono le seguenti:

CVE-2022-45172 – LIVEBOX Collaboration vDesk

Vulnerability Description: Multiple Improper Access Control- CWE-284

• Software Version:  
• NIST: https://nvd.nist.gov/vuln/detail/CVE-2022-45172 
• CVSv3: 9,8
• Severity: Critical
• Credits: Andrea Carlo Maria Dattola, Massimiliano Brolli
• An issue was discovered in LIVEBOX Collaboration vDesk before v018. Multiple Broken Access Control can occur under the /api/v1/registration/validateEmail endpoint, the /api/v1/vdeskintegration/user/adduser endpoint, and the /api/v1/registration/changePasswordUser endpoint. The web application is affected by flaws in authorization logic, through which a malicious user (with no privileges) is able to perform privilege escalation to the administrator role, and steal the accounts of any users on the  system.

CVE-2022-45173 – LIVEBOX Collaboration vDesk

Vulnerability Description: Improper Authentication (Bypass Two-Factor Authentication – Lack of Server-Side Validation) – CWE-287

• Software Version:  
• NIST: https://nvd.nist.gov/vuln/detail/CVE-2022-45173 
• CVSv3: 9,8
• Severity: Critical
• Credits: Massimiliano Ferraresi, Massimiliano Brolli
• An issue was discovered in LIVEBOX Collaboration vDesk through v018. A Bypass of Two-Factor Authentication can occur under the /api/v1/vdeskintegration/challenge endpoint. Because only the client-side verifies whether a check was successful, an attacker can modify the response, and fool the application into concluding that the TOTP was correct.

CVE-2022-45174 – LIVEBOX Collaboration vDesk

Vulnerability Description: Improper Authentication (Bypass Two-Factor Authentication for SAML Users – Bad Backup Code Check)- CWE-287

• Software Version:  
• NIST: https://nvd.nist.gov/vuln/detail/CVE-2022-45174 
• CVSv3: 9,8
• Severity: Critical
• Credits: Antonella Marino, Massimiliano Brolli
• An issue was discovered in LIVEBOX Collaboration vDesk through v018. A Bypass of Two-Factor Authentication for SAML Users can occur under the /login/backup_code endpoint and the /api/v1/vdeskintegration/challenge endpoint. The correctness of the TOTP is not checked properly, and can be bypassed by passing any string as the backup code.

CVE-2022-45178 – LIVEBOX Collaboration vDesk

Vulnerability Description: Improper Access Control- CWE-284

• Software Version:  
• NIST: https://nvd.nist.gov/vuln/detail/CVE-2022-45178 
• CVSv3: 8,8
• Severity: High
• Credits: Andrea Carlo Maria Dattola, Massimiliano Brolli
• An issue was discovered in LIVEBOX Collaboration vDesk through v018. Broken Access Control exists under the /api/v1/vdeskintegration/saml/user/createorupdate endpoint, the /settings/guest-settings endpoint, the /settings/samlusers-settings endpoint, and the /settings/users-settings endpoint. A malicious user (already logged in as a SAML User) is able to achieve privilege escalation from a low-privilege user (FGM user) to an administrative user (GGU user), including the administrator, or create new users even without an admin role.

CVE-2022-45170 – LIVEBOX Collaboration vDesk

Vulnerability Description: Cryptographic Issue (File Encryption API) – CWE-310

• Software Version:  
• NIST: https://nvd.nist.gov/vuln/detail/CVE-2022-45170 
• CVSv3: 6,5
• Severity: Medium
• Credits: Luca Borzacchiello, Massimiliano Brolli
• An issue was discovered in LIVEBOX Collaboration vDesk before v018. Multiple Broken Access Control can occur under the /api/v1/registration/validateEmail endpoint, the /api/v1/vdeskintegration/user/adduser endpoint, and the /api/v1/registration/changePasswordUser endpoint. The web application is affected by flaws in authorization logic, through which a malicious user (with no privileges) is able to perform privilege escalation to  the administrator role, and steal the accounts of any users on the  system.

CVE-2022-45175 – LIVEBOX Collaboration vDesk

Vulnerability Description: Insecure Direct Object Reference (Cached Files) – CWE-639

• Software Version:  
• NIST: https://nvd.nist.gov/vuln/detail/CVE-2022-45175 
• CVSv3: 6,5
• Severity: Medium
• Credits: Luca Borzacchiello, Massimiliano Brolli
• An issue was discovered in LIVEBOX Collaboration vDesk through v018. An Insecure Direct Object Reference can occur under the 5.6.5-3/doc/{ID-FILE]/c/{N]/{C]/websocket endpoint. A malicious unauthenticated user can access cached files in the OnlyOffice backend of other users by guessing the file ID of a target file.

CVE-2022-45180 – LIVEBOX Collaboration vDesk

Vulnerability Description: Improper Access Control (Export of Users)- CWE-284

• Software Version:  
• NIST: https://nvd.nist.gov/vuln/detail/CVE-2022-45180 
• CVSv3: 6,5
• Severity: Medium
• Credits: Andrea Carlo Maria Dattola, Massimiliano Brolli
• An issue was discovered in LIVEBOX Collaboration vDesk through v018.Broken Access Control exists under the /api/v1/vdesk_{DOMAIN]/export endpoint.A malicious user, authenticated to the product without any specific privilege, can use the API for exporting information about all users of the system (an operation intended to only be available to the system administrator).

Il Red Team Research di TIM

Si tratta di uno tra i pochi centri italiani di ricerca sui bug di sicurezza, dove da diverso tempo vengono effettuate attività che mirano all’identificazione di vulnerabilità non documentate. Le attività condotte dal team, portano ad una successiva emissione di CVE sul National Vulnerability Database degli Stati Uniti D’America, terminato il percorso di Coordinated Vulnerability Disclosure (CVD) con il vendor del prodotto.

Nel corso di 3 anni di attività, abbiamo visto il laboratorio, rilevare moltissimi bug 0-day su prodotti best-in-class e big vendor di valenza internazionale, come ad esempio Oracle, IBM, Fortinet, F5, Ericsson, Red Hat, Nokia, Computer Associates, Siemens, F5, Fortinet, QNAP, Johnson & Control, Schneider Electric, oltre ad altri fornitori su tipologie differenti di architetture software/hardware.

Nel corso del tempo, sono stati emessi oltre 110 CVE, dove oltre 10 risultano con severità Critical (9,8 di score CVSSv3).

Relativamente ad una vulnerabilità rilevata dal gruppo di ricerca sul prodotto Metasys Reporting Engine (MRE) Web Services, del fornitore Johnson & Control, la Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti D’America, ha emesso un avviso di sicurezza riportando come Background i settori quali: “CRITICAL INFRASTRUCTURE SECTORS, COUNTRIES/AREAS DEPLOYED e COMPANY HEADQUARTERS LOCATION”.

Si tratta di una realtà tutta italiana che emette una CVE con costanza, contribuendo in maniera fattiva alla ricerca delle vulnerabilità non documentate a livello internazionale. RTR si sta distinguendo a livello paese sull’elevata caratura delle attività svolte, oltre a contribuire all’innalzamento dei livelli di sicurezza dei prodotti utilizzati da organizzazioni e singole persone.