یکی از پژوهشگران در سال گذشته پس از کشف یک آسیبپذیری بحرانی که برای سرقت اطلاعات حسابهای Slack مورد بهرهبرداری قرار گرفته بود، ۶٬۵۰۰ دلار از Slack پاداش گرفت.
این پژوهشگر به نام Eavan Custodio در ماه نوامبر سال ۲۰۱۹ میلادی کشف کرد که دامنهی slackb.com این بستر همکاری سازمانی در برابر حملات HTTP request smuggling آسیبپذیر است.
HTTP request smuggling به یک مهاجم اجازه میدهد که در نحوهی پردازش توالیهای درخواست HTTP توسط وبگاه مداخله کند. درصورتیکه یک وبگاه در برابر این نوع حملات آسیبپذیر باشد، یک نفوذگر میتواند از درخواستهای دستکاریشده برای دور زدن کنترلهای امنیتی، دسترسی به دادههای حساس و در معرض خطر قرار دادن حسابهای سایر کاربران استفاده کند.
در مورد Slack، این پژوهشگر کشف کرد که یک مهاجم میتواند کوکی نشست کاربر را به سرقت ببرد که دسترسی به حساب قربانی را برای او فراهم میکند. این حمله بهصورت خودکار قابل انجام است و به نفوذگر اجازه میدهد تا کوکیهای نشست بسیاری از کاربران را به دست آورد.
وی تشریح کرد که در این حمله برای یک عامل بد بسیار مهم است که رباتهایی را ایجاد کند تا بهطور مداوم این حمله را انجام دهند، به نشست قربانی پرش کنند و همهی دادههای در دسترس را به سرقت ببرند.
این آسیبپذیری در اواسط ماه نوامبر از طریق برنامهی پاداش در ازای اشکال Slack به این شرکت گزارش شد و در عرض ۲۴ ساعت وصله شد، که این کار برای Slack در زمانی که با مسائل مربوط به سرقت اطلاعات حسابها مواجه بود، غیرعادی نبود.
Slack تشریح کرد که این پژوهشگر از یک اشکال HTTP Request Smuggling موجود در Slack برای انجام یک سرقت مبتنیبر CL.TE در درخواستهای مشتری همسایه بهرهبرداری کرده است. این سرقت قربانی را مجبور به هدایت باز (open redirect) میکند که قربانی را به کلاینت مشترک پژوهشگر با کوکیهای دامنهی Slack هدایت میکند. کوکیهای ارسالشده در درخواست مشتری در کلاینت مشترک شامل کوکی نشست محرمانهی مشتری است. این پژوهشگر با انجام این حمله توانست سرقت نشست از مشتریان دلخواه Slack را اثبات کند. Slack معمولاً ۱٬۵۰۰ دلار برای آسیبپذیریهای کشفشده در محصولات خود پاداش میدهد. بااینحال، Custodio این حفرهی امنیتی را در دورهای گزارش داد که این شرکت پاداشهای بیشتری برای آسیبپذیریهای جدی میداد. این شرکت در مجموع بیش از ۵۶۰ هزار دلار برای آسیبپذیریهای گزارششده پرداخت کرده است.