Check Point® Software Technologies Ltd. (NASDAQ: CHKP), il più grande fornitore specializzato in soluzioni di sicurezza a livello mondiale, avverte eBay per una vulnerabilità sulla piattaforma di vendita on-line che permette ai cybercriminali di distribuire campagne di phishing e malware. eBay, il gigante delle aste online e di e-commerce - ricorda Check Point - ha sedi in oltre trenta Paesi e serve oltre 150 milioni di utenti attivi in tutto il mondo. In qualità di azienda di successo con una base di clienti enorme, non è una sorpresa che la società è stata il bersaglio di molti attacchi informatici.
Check Point ha scoperto una grave vulnerabilità nella piattaforma di vendita on-line di eBay. Questa vulnerabilità consente agli aggressori di bypassare il codice di validazione di eBay e controllare il codice vulnerabile da remoto per eseguire codice JavaScript maligno malevole contro gli utenti di eBay presi di mira. Se questo difetto viene lasciato senza patch, i clienti di eBay continueranno ad essere esposti a potenziali attacchi di phishing e furti di dati. Un utente malintenzionato potrebbe indirizzare gli utenti di eBay attraverso l'invio di una pagina legittima che contiene codice dannoso.
I clienti, spiega la società specializzata in sicurezza informatica, potrebbero essere indotti ad aprire la pagina e il codice verrà poi eseguito dal browser dell'utente o app mobile, portando a molteplici scenari inquietanti che vanno dal phishing al download binario. Dopo che il difetto è stato scoperto, Check Point ha rivelato i dettagli della vulnerabilità ad eBay il 15 dicembre 2015. Tuttavia, in data 16 gennaio 2016, eBay ha dichiarato di non avere alcuna intenzione di risolvere la vulnerabilità. Pochi giorni dopo l'azienda ha ceduto alle pressioni da parte delle comunità di sicurezza ed attuato un parziale fix.
Il ricercatore di sicurezza Check Point Roman Zaikin ha recentemente scoperto una vulnerabilità che consente agli aggressori di eseguire codice dannoso sui dispositivi degli utenti eBay, utilizzando una tecnica non standard chiamata "JSFUCK". Questa vulnerabilità può consentire ai cybercriminali di utilizzare eBay come piattaforma di phishing e distribuzione di malware. Per sfruttare questa vulnerabilità, un aggressore deve creare un'inserzione on-line su eBay. A causa del set di caratteri JSFUCK non standard, questo codice bypassa i filtri XSS (cross-site scripting) di eBay.
eBay impedisce agli utenti di includere script o iFrame filtrando i tag HTML. Tuttavia, utilizzando JSfuck, l'attaccante può creare un codice che caricherà un ulteriore codice JS dal suo server. Questo permette al malintenzionato di inserire un JavaScript remoto controllabile che può adattarsi, ad esempio, per creare più carichi utili per un differente user agent. eBay esegue la verifica semplice, ma spoglia solo caratteri alfanumerici da dentro i tag di script. La tecnica JSfuck permette agli hacker di aggirare questa protezione utilizzando un numero limitato di caratteri.
Nessun commento:
Posta un commento