Naša misija
Naš cilj nije samo čekati novu sigurnosnu prijetnju — mi ih tražimo proaktivno. Tokom 2022. i 2023. naš sigurnosni tim je otkrio osam ozbiljnih ranjivosti u dva poznata enterprise sistema: iTop, open-source ITSM koji koriste brojne globalne kompanije, i Axiell Iguana CMS, sistem koji koriste muzeji i biblioteke širom Evrope.
U ovom blogu prikazujemo kako smo identifikovali, testirali i odgovorno prijavili ove ranjivosti — koje su sada ispravljene i zvanično zabilježene kao CVE-ovi. Bilo da ste pentester, softverski vendor ili sistem administrator, ovo su lekcije koje vrijedi znati.
Kako radimo
Naše istraživanje Axiell Iguana CMS-a započelo je putem programa odgovornog otkrivanja ranjivosti Grada Haga, koji je hostovan na Zerocopter platformi. Tokom testiranja infrastrukture Bibliotheek Den Haag, otkrili smo ranjivosti unutar njihovog CMS softvera — koje smo kasnije povezali sa Axiell Iguana CMS-om. Nakon što smo sve prijavili Den Haagu, odlučili smo se podnijeti i zvanične CVE zahtjeve kako bismo povećali vidljivost i osigurali dugoročnu sanaciju.
iTop ranjivosti smo otkrili nezavisno, prilikom pregledavanja open-source projekata na GitHub-u. Primijetili smo ranjive endpoint-e i nedovoljno zaštićeno rukovanje korisničkim unosom — što nas je potaklo da uradimo detaljniju analizu. Sve smo prijavili putem službenog sigurnosnog kanala na GitHub-u. Ovo je bio čisto dobrovoljan doprinos sigurnosti open-source zajednice.
Kako je izgledao proces prijave ranjivosti
Za ranjivosti pronađene u Axiell Iguana CMS-u, sarađivali smo sa Dutch Institute for Vulnerability Disclosure (DIVD), koji su nam pomogli da koordiniramo komunikaciju s Axiell timom i osiguramo da se zakrpe implementiraju na odgovoran način. Njihova podrška bila je ključna u validaciji nalaza i dodjeli zvaničnih CVE oznaka.
Ranjivosti u Combodo iTop platformi prijavili smo putem javnog sigurnosnog interfejsa na GitHub-u. Korištenjem funkcije “Report a Vulnerability”, predali smo nalaze direktno Combodo timu. Odgovorili su brzo i riješili sve četiri ranjivosti u verziji 3.0.4 i novijim. GitHub je objavio sigurnosne bilješke za svaku od njih.
Zahvalni smo Axiell i Combodo timovima na profesionalnoj saradnji. Ovaj proces pokazuje koliko je odgovorno prijavljivanje ranjivosti važno za jačanje globalne sigurnosti softvera.
Pronađene ranjivosti
Ranjivosti u Axiell Iguana CMS-u
Axiell Iguana CMS je web-bazirani sistem za upravljanje sadržajem (CMS) koji koriste biblioteke, muzeji i arhivi. Razvijen od strane Axiell Group, jednog od najvećih evropskih dobavljača digitalne kulturne tehnologije, Iguana omogućava institucijama da objavljuju i kuriraju digitalne kolekcije. Široko je zastupljen u nordijskim zemljama i Holandiji, često integrisan u gradske bibliotečke sisteme.
CVE-2022-45049
Ranjivost: Reflektovani XSS u novelist.php
Uticaj: JavaScript payload mogao je biti izvršen putem url parametra, ugrožavajući sesije korisnika.
Link: MITRE CVE-2022-45049
CVE-2022-45050
Ranjivost: Reflektovani XSS u twitter.php
Uticaj: Nevalidiran title parametar omogućavao je umetanje JavaScript koda preko linkova sa naslovnice.
Link: NVD CVE-2022-45050
CVE-2022-45051
Ranjivost: Reflektovani XSS u Service.template.cls
Uticaj: Kroz module parametar bilo je moguće umetnuti zlonamjerni JavaScript u korisnički interfejs osoblja.
Link: NVD CVE-2022-45051
CVE-2022-45052
Ranjivost: Lokalno uključivanje fajlova (LFI) u Proxy.type.php i imageProxy.type.php
Uticaj: Bilo je moguće pristupiti lokalnim fajlovima koristeći posebno kodirane url vrijednosti, otkrivajući osjetljive konfiguracije.
Link: NVD CVE-2022-45052
Ranjivosti u Combodo iTop
iTop (IT Operations Portal) je open-source platforma za upravljanje IT uslugama (ITSM), razvijena od strane Combodo. Koriste ga IT odjeli, MSP provajderi, obrazovne ustanove i razne vladine agencije širom svijeta. iTop omogućava vođenje CMDB-a, praćenje incidenata i zahtjeva, te automatizaciju procesa.
CVE-2023-34444
Ranjivost: XSS u ajax.searchform.php
Uticaj: Reflektovani XSS u naprednoj pretrazi, koristan za krađu kolačića ili phishing napade.
Linkovi: NVD • GitHub Savjet
CVE-2023-34445
Ranjivost: XSS u ajax.render.php
Uticaj: HTML render funkcija nije ispravno escapovala sadržaj, omogućavajući skriptne napade.
Linkovi: NVD • GitHub Savjet
CVE-2023-34446
Ranjivost: XSS u preferences.php
Uticaj: Nesanirani korisnički parametri su omogućili unošenje JavaScript koda u DOM. Potencijal za eskalaciju privilegija.
Link: NVD CVE-2023-34446
CVE-2023-34447
Ranjivost: XSS u UI.php
Uticaj: Upisivanje trajnog XSS koda putem UI parametara koji nisu escapovani. Omogućava krađu kolačića i kontrolu nad korisničkim sesijama.
Linkovi: NVD • GitHub Savjet
Uticaj i zahvale
Ova otkrića pokazuju koliko su važne i manuelne analize i automatizacija u testiranju sigurnosti. Axiell i Combodo su brzo reagovali, zakrpili sve ranjivosti i objavili CVE-ove. Ponosni smo što doprinosimo sigurnosti softvera koji koriste hiljade korisnika širom svijeta.
Ako koristite iTop ili Iguana CMS, obavezno ažurirajte na posljednje verzije i redovno pratite sigurnosne objave.
Osigurajmo vaš softver
Naši iskusni pentesteri simuliraju napade kako bi otkrili stvarne sigurnosne slabosti.
