خطاهای ادغام Google Drive باعث ایجاد نقص های SSRF در چندین برنامه مختلف شد

دسته بندی ها : آسیب پذیری, اخبار ۲۱ بهمن ۱۴۰۰ آپا دانشگاه تبریز 149 بازدید
خطاهای ادغام Google Drive باعث ایجاد نقص های SSRF در چندین برنامه مختلف شد

یک محقق امنیتی فاش کرد که نقص‌های پیاده‌سازی در ادغام‌های Google Drive باعث ایجاد آسیب‌پذیری‌های جعل درخواست سمت سرور (SSRF) در برنامه‌های مختلف شده است.

هارش جیسوال، شکارچی جایزه باگ در نوشته ای در GitHub بازگو می کند، این شامل پلتفرم امضای دیجیتال Dropbox به نام HelloSign بود، اما «به مراتب بهترین» SSRF از طریق CRLF و پایپ لاین کردن درخواست‌ها در دیگری، برنامه ای بدون نام، به دست آمد.

جایزه HelloSign

جیسوال جایزه ۱۷۵۷۶ دلاری را برای SSRF «بسیار ساده» اما مهم مربوط به ویژگی اکسپورت Google Drive Docs HelloSign دریافت کرد.

تیم امنیتی Dropbox در یک موضوع باگ در HackerOne گفت: «با استفاده از یک پارامتر اضافی در Google Drive API، محققان را قادر ساخت تا HelloSign را مجبور کنند تا داده‌های JSON خارجی را که منجر به حمله SSRF می‌شود، تجزیه کند.»

آن‌ها افزودند: «ما تجزیه‌کننده را به‌روزرسانی کردیم تا به‌طور ایمن درخواستی را ارائه دهیم که آسیب‌پذیری را کاهش می‌دهد».

کنترل URL دانلود

جیسوال گفت که مشکلات پیاده‌سازی در ادغام‌هایی که فایل‌ها را از Google Drive API در سمت سرور واکشی می‌کردند، به وجود آمد.

برای نشان دادن این مفهوم، او سناریویی را ترسیم کرد که در آن یک برنامه یک فایل تصویری را از Google Drive بازیابی و رندر می‌کند به گونه‌ای که می‌تواند به مهاجمان ،کنترل درخواست HTTP ارائه شده به googleapis.com از طریق file_id را بدهد.

محقق توضیح داد: «این بدان معناست که ما می‌توانیم حمله پیمایش مسیر را انجام دهیم و پارامترهای پرس و جو را اضافه کنیم.»

جیسوال این تحقیق را در سال ۲۰۱۹ پس از حدس و گمان اینکه ممکن است بتواند یک تغییر مسیر باز در APIهای Google دریافت کند، شروع کرد، اما معلوم شد که این کار غیرقابل اجرا بود.

با این حال، او مسیر دیگری به سوی SSRF پیدا کرد.

از آنجایی که پارامتر alt=media به جای شیء JSON، کل فایل را تجزیه می کند، زمانی که برنامه JSON را تجزیه و دانلود Url را استخراج می‌کرد، مهاجمان می‌توانستند روی downloadUrl کنترل داشته باشند.

پس از آن، یک بار حاوی یک شیء مخرب JSON با  downloadUrl تنظیم شده روی یک URL کنترل شده توسط مهاجم ، وابسته به منطق برنامه، می‌تواند یک SSRF کور را راه اندازی کند.

CRLF، پایپ لاین کردن درخواست

SSRF از طریق CRLF و پایپ لاین کردن درخواست در یک برنامه جایزه باگ خصوصی یافت شد و مربوط به این بود که اسلایدها  چگونه از Google Drive وارد شده بودند.

محقق دریافت که: بخش پیمودن مسیر از بهره برداری جیسوال کار می کند، اما پارامترهای پرس و جو کار نمی کند.

با این حال، CRLF – که نشان دهنده عناصر کاراکتر ویژه “carriage return” و “line feed” است – روی ویژگی authToken اعمال می‌شود و به او اجازه می‌دهد بخشی از سرتیتر درخواست را کنترل کند.

جیسوال گفت: «با استفاده از این، من توانستم یک درخواست جدید به www.googleapis.com با پارامترهای جستجوی کنترل شده خود با استفاده از پایپ لاین درخواست ایجاد کنم.»

برای یافتن بیشتر

این محقق گفت که اکثر SSRF های گزارش شده اکنون اصلاح شده‌اند، اما موارد بیشتری می‌تواند کشف نشده، در برنامه‌های دیگر وجود داشته باشند.

او به Daily Swig گفت: «اگر یک پیاده‌سازی سفارشی از [Google Drive] وجود داشته باشد و هیچ پاک‌سازی انجام نشود، می‌تواند باعث ایجاد این باگ شود. «من تقریباً مطمئن هستم که برنامه‌های بیشتری هنوز تحت تأثیر این یافته هستند.»

اخبار آسیب‌پذیری‌های ایران و جهان را از وبسایت آپا دانشگاه تبریز، بخش آسیب‌پذیری‌ها دنبال کنید.

راه آسان‌تری برای ارتباط با کاربران‌مان پیدا کرده‌ایم :) عضویت در کانال

نظرات کاربران

    دیدگاهتان را بنویسید

    نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

    لینک کوتاه :