Cazador de errores gana el premio 'Investigador del mes' por error de adquisición de cuenta del Departamento de Defensa



La piratería ética crea grandes recompensas por errores Ver ahora El Departamento de Defensa de EE. UU. Ha corregido una vulnerabilidad grave que afectaba a su red interna y que habría permitido a los actores de amenazas secuestrar las cuentas del DOD con solo modificar algunos parámetros en las solicitudes web enviadas a los servidores del DOD. La vulnerabilidad fue descubierta por Jeff Steinburg, un investigador de seguridad de la firma de seguridad estadounidense Silent Breach, y reportada y parcheada de manera privada a través del Programa de Divulgación de Vulnerabilidades (VDP) del DOD. El problema recibió una calificación de gravedad de "Crítico (9 ~ 10)" porque el error requería habilidades técnicas mínimas para explotar y secuestrar cualquier cuenta del Departamento de Defensa de la elección del atacante.
La gravedad del problema reportado le valió a Steinburg el premio "Investigador del mes" del Departamento de Defensa, a pesar de que el error es el primer informe de VDP del Departamento de Defensa. Si bien hoy se han revelado algunos detalles sobre el error, un informe completo no estará completamente disponible; para proteger la seguridad de la red DOD. Según este informe resumido, el error se clasificó como una vulnerabilidad de referencias directas a objetos inseguros (IDOR), un error en el que faltan controles de seguridad en una aplicación, lo que permite a los piratas informáticos modificar algunos parámetros sin controles de identidad adicionales.
En el caso del DOD, el error habría permitido a un atacante tomar una solicitud web legítima enviada a un sitio web del DOD, modificar la identificación de usuario y los parámetros del nombre de usuario, y el sitio del DOD habría permitido al atacante cambiar la contraseña de la cuenta del DOD de cualquier usuario, lo cual habría permitido a los piratas informáticos secuestrar cuentas y luego violar la red del Departamento de Defensa. Hoy en día, los errores de IDOR se consideran fáciles de encontrar debido a la gran cantidad de herramientas automatizadas que hacen que su descubrimiento sea un proceso que requiere menos tiempo. La mayoría de los errores de IDOR hoy en día permiten a los atacantes modificar parámetros inofensivos y ajustar la configuración de la cuenta de poca importancia, pero algunos errores de IDOR también pueden tener graves consecuencias cuando los errores de IDOR residen en campos sensibles de la cuenta, como contraseñas y correos electrónicos de recuperación / pago de cuentas, o valores de precios en carritos de compras, John Jackson, ingeniero de seguridad de aplicaciones de Shutterstock, le dijo a ZDNet en una entrevista hoy.
"Las vulnerabilidades inseguras de referencia directa a objetos son esos errores silenciosos y subestimados, pero no son infrecuentes", dijo Jackson. El DOD solucionó el error al agregar un mecanismo de sesión de usuario al sistema de cuentas del DOD, evitando que los atacantes modifiquen los parámetros sin autenticarse en el sitio primero, o obteniendo primero una cookie de sesión del usuario del DOD atacado. pag VER GALERÍA COMPLETA.

Yorumlar

Yorum Gönder

Bu blogdaki popüler yayınlar

Una lista de conferencias de seguridad canceladas o pospuestas debido a preocupaciones de coronavirus

Resim
Getty Images / iStockphoto A medida que las conferencias tecnológicas y las ferias comerciales se cancelan, posponen o se vuelven virtuales de izquierda a derecha, muchos eventos de seguridad cibernética se enfrentan a un destino similar, todo debido a problemas de salud causados ​​por el nuevo coronavirus conocido como COVID-19. Los profesionales de la seguridad cibernética que no pudieron asistir a algunas de sus conferencias favoritas antes, principalmente debido a razones de tiempo, viaje o salud, pueden descubrir que algunos eventos ahora se transmiten y pueden ver sesiones desde la comodidad o su hogar o espacio de trabajo. La siguiente lista abarca una lista de los próximos eventos y su estado respectivo. Las conferencias que no figuran en la lista están programadas para continuar según lo planeado. La lista incluye solo cancelaciones, conferencias pospuestas o aquellos que anunciaron planes para transmitir su contenido. fuerte - 9 de marzo a 11 de marzo, Zurich - Estado ac...
Devamı

Las tasas de parches OEM de Android han mejorado, con Nokia y Google liderando la carga

Resim
Imagen: Dmitry Bayer Las actualizaciones de seguridad están llegando a los usuarios de Android de manera más rápida y confiable que en años anteriores. En una investigación publicada este mes, la firma alemana de ciberseguridad SRLabs dijo que la brecha del parche de Android se ha reducido de 44 días en 2018 a 38 días hoy. El término retraso de parche de Android, o brecha de parche, se refiere al tiempo desde que Google publica formalmente una actualización de seguridad en su sitio web, y hasta que un proveedor de teléfonos inteligentes (OEM o fabricantes de equipos originales) integra el parche en su firmware. SRLabs dice que recopiló información sobre retrasos en los parches utilizando su aplicación de escáner de seguridad SnoopSnitch instalada en más de 500,000 teléfonos inteligentes Android. Si bien la compañía informó que el retraso del parche se ha reducido en un 15% en los últimos dos años, la brecha del parche varió enormemente entre los proveedores de teléfonos inteligente...
Devamı