Il team di Bug Hunting di Swascan, che aveva già svelato le vulnerabilità di Adobe, Microsoft, Lenovo, Huawei, Nokia e SAP ha recentemente portato alla luce le criticità di alcune Web Application e server di GoToMeeting

GoToMeeting

Grazie alle sue competenze, il team di Cyber Security Researcher di Swascan ha portato alla luce alcune criticità legate ad alcune Web Application di uno dei principali player nel mercato dei software di meeting online, desktop sharing e videoconferenza oggi presenti sul mercato. L’attività svolta dal team ha infatti evidenziato alcune potenziali problematiche che avrebbero potuto essere sfruttate dai Criminal Hacker per attaccare GoToMeeting.

Dopo l’identificazione di queste vulnerabilità, gli esperti del team hanno condiviso i loro risultati con il PSIRT della società americana attraverso una Responsible Vulnerability Disclosure contenente tutte le informazioni necessarie per l’attività di Remediation. GoToMeeting ha da allora decommissionato il server che potrebbe aver causato potenziali problemi eliminando questo rischio per i suoi utenti.

Le criticità riscontrate potrebbero aver influito sulla business continuity, sulla sicurezza dei dati e delle informazioni degli utenti e sul regolare funzionamento dei servizi.

I dettagli delle criticità di GoToMeeting

Le criticità scoperte andavano ad impattare aspetti di:

  • Confidentiality;
  • Integrity;
  • Availability;

In dettaglio le vulnerabilità appartenevano alle seguenti categorie CWE:

  • CWE-20 (Improper Input Validation): Il prodotto non convalida o convalida erroneamente gli input che possono influenzare il flusso di controllo o il flusso di dati di un programma. Quando il software non convalida correttamente l’input, un aggressore è in grado di crearne in una forma che non è prevista dal resto dell’applicazione. Questo porterà parti del sistema a ricevere input non intenzionali, che possono comportare un flusso di controllo alterato, un controllo arbitrario di una risorsa o un’esecuzione arbitraria del codice.
  • CWE-287 (Improper Authentication): Quando un attore dichiara di avere una determinata identità, il software non prova o prova in modo insufficiente che la dichiarazione è corretta.
  • CWE-476 (NULL Pointer Dereference): Una dereferenza del puntatore NULL si verifica quando l’applicazione dereferenzia un puntatore che si aspetta di essere valido, ma è NULL, causando tipicamente un incidente o un’uscita.

Articoli correlatiAltro dello stesso autore