Ačkoliv naší pomoc zaměřujeme na systém WordPress, nejvíce se naše společnost zabývá vývojem zakázkového software a jeho provozu. V průběhu posledního čtvrtletí roku 2023 jsme pro naše klienty nasazovali open-source systém pro ticketing a správu klientů ITFlow.

Při nasazování a nastavování, jsme kvůli několika nedokonalostem v dokumentaci zamířili pro informace přímo do zdrojového kódu. V něm jsme identifikovali potenciální problém, kdy pro klíčové změny systému nedocházelo k využívání CSRF tokenů.

Zranitelnost typu Cross Site Request Forgery (CSRF) se vyznačuje tím, že dochází ke zneužití aktuálního přihlášení uživatele v nějaké aplikaci, kdy bez jeho vědomí, v rámci jeho přihlášení, dochází k odesílání požadavků do zranitelné aplikace. Často tak dochází např. k nevyžádané změně hesla účtu atd.

Pro otestování naší hypotézy jsme sestavili PoC (Proof of concept) a vyzkoušeli na lokální verzi, zda se zranitelnost skutečně v testovaném software nachází.

CVE-2024-25344

Software ITFlow měl zranitelnou sekci pro nastavení systému, konkrétně endpoint post.php, který využívá pro zpracovávání formulářů. Zde absentovala kontrola vygenerovaných CSRF tokenů, které jsou běžnou obranou před zranitelností CSRF.

Po exploitování této zranitelnosti se nám podařilo změnit nastavení platební brány Stripe, kterou určitě velká většina WordPressáků zná, případně se nám podařilo upravit nastavení Microsoft Azure SSO. Výsledkem je pro útočníka možnost nastavit systém tak, aby veškeré platby skrze systém ITFlow a bránu Stripe obdržel on.

PoC

Protože již byla zranitelnost v kooperaci s vývojáři opravena, zveřejňujeme tuto zprávu a náš PoC, pro zranitelné verze systému. Zranitelné jsou všechny instance ITFlow před commitem 432488eca3998c5be6b6b9e8f8ba01f54bc12378.

    

        
edit_online_payment_settings

        
config_stripe_enable

        
config_stripe_publishable

        
config_stripe_secret

        
config_stripe_account

    
    

• Systém ITFlow – itflow.org
• NIST CVE-2024-25344
• MITRE CVE-2024-25344
• PacketStormSecurity CVE-2024-25344
• https://github.com/itflow-org/itflow/commit/432488eca3998c5be6b6b9e8f8ba01f54bc12378
• https://github.com/itflow-org/itflow/commit/8068cb6081e4760860a634c1066b2c64d0ee2d46

Článek ITFlow CSRF zranitelnost CVE-2024-25344 se nejdříve objevil na WP Pomoc.

Pokud uchováváte osobní údaje, mohlo dojít k jejich úniku. Analyzujte proto prosím svůj web jestli k němu opravdu nedošlo. Mohla vám tak vzniknout ohlašovací povinnost vůči regulátorovi.

Pro naše klienty jsme problém okamžitě vyřešili a jejich weby aktualizovali na nejnovější verze. Pokud chcete i vy takový servis, neváhejte nás kontaktovat zde, nebo nám napište na info@wp-pomoc.cz.

Článek WP Fastest Cache kritická zranitelnost se nejdříve objevil na WP Pomoc.