Μια ευπάθεια stored XSS, η οποία θα μπορούσε να χρησιμοποιηθεί εύκολα από τους χάκερ ως σημείο εισόδου για περαιτέρω επιθέσεις, εντοπίστηκε και αναφέρθηκε στην PayPal από ερευνητές της BitDefender.
[signoff icon=”icon-target”]Στις επιθέσεις μέσω stored XSS, οι επιτιθέμενοι χρησιμοποιούν κακόβουλα URLs, ειδικά σχεδιασμένα για την αποθήκευση του κώδικα εκμετάλλευσης στο διακομιστή. Αυτό πραγματοποιείται με τη βοήθεια ενός σχολίου σε blog, ενός post σε φόρουμ, μιας καταχώρησης σε βάση δεδομένων, και ούτω καθεξής. Όταν ένας χρήστης αποκτήσει πρόσβαση σε μια σελίδα όπου έχει “αποθηκευτεί” ο κώδικας της επίθεσης, τότε το συγκεκριμένο τμήμα του κώδικα φορτώνεται στο πρόγραμμα περιήγησής του και εκτελείται.[/signoff]
Η ομάδα της BitDefender αποκάλυψε την ύπαρξη της ευπάθειας XSS στο dashboard των πελατών της PayPal, και πιο συγκεκριμένα στην ενότητα Request Money -> Create Invoice.
Σύμφωνα με τον ερευνητή Liviu Arsene, το ζήτημα της ευπάθειας έγκειται στον τρόπο με τον οποίο οι διευθύνσεις URL κρυπτογραφούνται από το σύστημα του PayPal, όταν οι χρήστες ανεβάζουν αρχεία στην ενότητα “Create Invoice”.
Η ευπάθεια XSS θα μπορούσε να έχει αξιοποιηθεί για την διανομή κακόβουλου περιεχομένου
Μέσω της εκμετάλλευσης της συγκεκριμένης ευπάθειας, οι εισβολείς θα ήταν σε θέση να αντικαταστήσουν τα αρχεία εξόδου της PayPal, με αρχεία της μορφής “~ test.bat”, αντί τιμολογίων. Οι επιτιθέμενοι θα μπορούσαν να ελέγχουν το περιεχόμενο των αρχείων αυτών, διανέμοντας κακόβουλο λογισμικό ή χρησιμοποιώντας τα ως σημείο εισόδου για περαιτέρω επιθέσεις.
Δεδομένου ότι τα αρχεία προέρχονται από τους servers της PayPal, οι μη υποψιασμένοι χρήστες δεν θα είχαν κανένα δισταγμό να ανοίξουν τα αρχεία .bat, νομίζοντας ότι πρόκειται για κάποιο τιμολόγιο αποθηκευμένο σε κάποια “περίεργη” μορφή.
Mετά τον εντοπισμό του κενού ασφάλειας, η εταιρεία κατασκευής antivirus, Βitdefender, συνεργάστηκε στενά με το προσωπικό της PayPal και η ευπάθεια επιδιορθώθηκε με επιτυχία.
Μόλις πριν από μια εβδομάδα, η PayPal επιδιόρθωσε μια ακόμη ευπάθεια stored XSS, η οποία θα μπορούσε να εκθέσει τα προσωπικά στοιχεία των χρηστών σε επιτιθέμενους.
