Vulnerabilitatea le permite atacatorilor să ocolească protecțiile de securitate a conținutului (Content Security Policy – CSP) și să fure datele vizitatorilor site-urilor.
O vulnerabilitate în browserele Google bazate pe Chromium ar permite atacatorilor să ocolească Content Security Policy (CSP) ale site-urilor web, pentru a fura date și pentru a executa secvențe de cod rău intenționate.
Bug-ul (CVE-2020-6519) se găsește în Chrome, Opera și Edge, pe platformele Windows, Mac și Android și ar putea afecta miliarde de utilizatori web, potrivit lui Gal Weizman, cercetător în domeniul cibersecurității la PerimeterX. Versiunile Chrome de la 73 (martie 2019) până la 83 sunt afectate (84 a fost lansat în iulie și soluționează problema).
CSP este un standard web care este menit să zădărnicească anumite tipuri de atacuri, inclusiv scripturi cross-site (XSS) și atacuri de injecție de date. CSP permite administratorilor web să specifice domeniile pe care un browser ar trebui să le considere surse valide de scripturi executabile. Un browser compatibil CSP va executa doar scripturi încărcate în fișierele sursă primite din domeniile respective.
„CSP este metoda principală folosită de proprietarii site-urilor web pentru a implementa politicile de securitate a datelor pentru a preveni executarea de coduri-umbră nocive pe site-ul lor web, astfel încât atunci când sistemele de securitate ale browserului pot fi ocolite, datele personale ale utilizatorului sunt în pericol”, a explicat Weizman, într-un raport publicat luni.
Majoritatea site-urilor web folosesc CSP, a menționat cercetătorul, inclusiv giganti de internet precum ESPN, Facebook, Gmail, Instagram, TikTok, WhatsApp, Wells Fargo și Zoom. Unele nume notabile nu au fost afectate, printre care GitHub, Google Play Store, LinkedIn, PayPal, Twitter, pagina de conectare Yahoo și Yandex.
Pentru a exploata vulnerabilitatea, un atacator trebuie mai întâi să obțină acces la serverul web (prin obținerea de parole prin brute-force sau altă metodă), pentru a putea modifica codul JavaScript pe care îl folosește. Apoi, atacatorul ar putea adăuga o directivă frame-src sau child-src în JavaScript pentru a permite codului injectat să fie încărcat și executat, ocolind aplicarea CSP și astfel ocolind politica site-ului, a explicat Weizman.
Din cauza aspectului de post-autentificare a erorii, acesta se clasează ca o problemă de severitate medie (6,5 din 10 pe scara CvSS). „Cu toate acestea, deoarece afectează aplicarea CSP, aceasta are implicații vaste”, a spus Weizman, comparând-o cu problemele cu centurile de siguranță, airbag-urile și senzorii de coliziune.
„Din cauza percepției crescute a siguranței, daunele provocate într-un accident când aceste echipamente sunt defecte este mult mai severă”, a spus cercetătorul. „Într-un mod similar, dezvoltatorii de site-uri pot permite scripturilor terților să adauge funcționalitate pe pagina lor de plată, de exemplu, știind că CSP va restricționa accesul la informații sensibile. Deci, atunci când CSP este penetrat, riscul pentru site-urile care s-au bazat pe acesta este potențial mai mare decât ar fi fost dacă site-ul nu ar fi avut niciodată CSP din start.”
Vulnerabilitatea a fost prezentă în browserele Chrome cu mai mult de un an înainte de a fi remediată, așa că Weizman a avertizat că implicațiile complete ale erorii nu sunt încă cunoscute: „Este foarte probabil să aflăm despre încălcările datelor în lunile următoare ca urmare a exploatării și exfiltrării informațiilor de identificare personală (Personally Identifiable Information – PII) în scopuri nefaste. ”
Utilizatorii ar trebui să își actualizeze browserele la cele mai recente versiuni pentru a evita să cadă victimă unui exploit.
Sursa: Threatpost.com
