3 Agosto 2020 - Tempo di lettura: 9 minuti
I ricercatori che hanno analizzato la piattaforma Meetup per l'organizzazione di eventi di gruppo gratuiti e a pagamento hanno scoperto vulnerabilità di alto livello che hanno permesso agli aggressori di diventare coorganizzatori o rubare fondi.
Meetup è un servizio che consente ai suoi utenti di creare eventi di persona o virtuali. Per gli organizzatori al di fuori degli Stati Uniti, la piattaforma offre supporto PayPal per addebitare ai partecipanti un evento a pagamento.
Meetup ha ricevuto un rapporto completo a metà dicembre 2019 e ha lavorato fino al 15 luglio 2020 per migliorare la sicurezza del servizio e correggere tutti i bug segnalati.
Oggi, in un rapporto, i ricercatori di Checkmarx descrivono una vulnerabilità XSS (cross-site scripting) memorizzata che ha permesso a un membro del gruppo di avere le stesse autorizzazioni di un organizzatore.
I ricercatori affermano che l'escalation dei privilegi è stata possibile semplicemente postando il codice JavaScript nel messaggio nell'area di discussione, una funzionalità che è attiva di default in un Meetup.
“Le richieste con payload XSS comuni, inviate come post di messaggi nell'area di discussione, sono state bloccate come ci aspettavamo. Tuttavia, siamo stati in grado di aggirare queste protezioni nelle richieste POST, il che crea l'opportunità per gli aggressori di dirottare una pagina del gruppo Meetup, intensificare il loro ruolo di "coorganizzatore" e gestire completamente il gruppo "- Checkmarx
Poiché si trova nell'area di discussione, JavaScript verrà eseguito nel browser di qualsiasi utente che lo consente quando visitano la pagina Meetup contaminata.
Il punteggio di gravità per questo problema è stato calcolato in 8,1 su 10. I ricercatori hanno creato un codice di prova (PoC) con un payload che ha aumentato i privilegi di un utente normale rispetto a quelli di un amministratore di gruppo.
Il secondo difetto di alta gravità, con un punteggio di 8,1 su 10, potrebbe essere sfruttato in combinazione con l'XSS memorizzato per modificare l'indirizzo PayPal di un utente nel profilo Meetup.
Ciò è stato possibile a causa di una falsificazione di richieste tra siti (CSRF) nella sezione Pagamenti del menu delle impostazioni. Un utente malintenzionato dovrebbe pubblicare un messaggio nell'area di discussione e puntare a un file sul proprio server che sfrutti il problema CSRF.
Oltre a questi due bug, Checkmarx ha anche riscontrato una perdita di sicurezza nell'API Meetup, sebbene la valutazione calcolata sia per gravità media (4.3).
Uno è la mancanza di risorse e limiti di velocità nell'endpoint dei membri di api.meetup.com, che potrebbe essere sfruttato per enumerare gli utenti Meetup utilizzando numeri interi sequenziali
L'altro bug relativo all'API si riferiva all'esposizione dei dati dell'utente, in particolare agli indirizzi e-mail. Gli utenti non autorizzati avrebbero potuto ottenere questi dati indipendentemente dalle impostazioni sulla privacy nell'account di destinazione.
Checkmarx ha lavorato con Meetup su questi problemi fino a quando tutto è stato risolto. Tutte le vulnerabilità sono state divulgate in un rapporto completo a Meetup il 14 dicembre.
Un primo tentativo di patching si è concluso il 6 marzo 2020, ma alcuni bug erano ancora attivi. Checkmarx ha suggerito alcune correzioni e il 15 luglio la piattaforma è stata in grado di confermare che tutto è stato risolto.