Vulnerabilità XSS per il sito Web del Pentagono

Nella giornata di domenica 6 dicembre l’hacker romeno Ne0h ha postato sul proprio blog un proof-of-concept per un attacco che sfrutta una serie di vulnerabilità che erano già state messe in evidenza nei mesi scorsi. Gli errori relativi alla validazione dell’input nel sito Web del Pentagono, come mostrato da Ne0h, possono essere sfruttati per attuare un attacco di tipo cross-site scripting (XSS). La falla era stata già in precedenza individuata (fine aprile) e segnalata, ma a quanto pare non è mai stata corretta. Il sito in questione consente di reperire informazioni sulla possibilità di effettuare una visita turistica organizzata all’interno del Pentagono e sembra a prima vista non contenere informazioni sensibili o dati ad alto rischio. Tuttavia il pericolo è quello che la vulnerabilità venga sfruttata per redirezionare gli utenti verso un sito “maligno” che assomiglia nell’aspetto a quello del Pentagono. Daniel Kennedy di Praetorian Security Group, ha esposto questa e altre preoccupazioni nel suo blog prendendo come spunto la segnalazione di Ne0h. Nel post di Ne0h compare inoltre lo screenshot legato all’altro problema segnalato, quello di “Iframe inclusion”.
Potenzialmente un attaccante potrebbe caricare all’interno di una normale pagina del sito Web del Pentagono, del contenuto proveniente da qualsiasi fonte esterna, sfruttando il meccanismo degli Iframe. La fonte dei bug sembra localizzata nell’applicazione di galleria fotografica installata nel sito. È ancora da capire quando verrà risolto il problema, che ricordiamolo era stato già segnalato alla fine di aprile di quest’anno.

Fonte: Oneitsecurity - Autore: Massimo Rabbi