Исследователь, обнаруживший серьезную уязвимость в программном интерфейсе приложения для управления облаком SonicWall, раскритиковал поставщика за то, что он оставил службу включенной и работающей в течение двух недель, пока она работала над исправлением.
Вангелис Стикас из британской компании Pentest Partners обнаружил небезопасную уязвимость прямой ссылки на объект в конечной точке API управления пользователями SonicWall.
Злоумышленник может манипулировать параметром в вызове API и добавить себя в любую учетную запись в любой организации через облачную систему управления SonicWall. mysonicwall.com
Стикас продемонстрировал, как это могло привести к тривиальному компромиссу между примерно 500 000 организаций, 2 миллионами групп пользователей и примерно 10 миллионами устройств SonicWall.
Исследователь сообщил об ошибке для SonicWall продуктовой команды отчет об инциденте безопасности, и призвал компанию, чтобы снять соответствующую службу, чтобы снизить риск для клиентов.
Однако, пока SonicWall проверял отчет Stykas, компания держала уязвимый сервис онлайн в течение 14 дней, пока разрабатывала исправление ошибки.
Стикас ничего не слышал от компании в течение нескольких дней после отчета, и никакого исправления уязвимости не последовало, но коллега помог обострить проблему генеральному директору SonicWall Биллу Коннеру через LinkedIn, который, в свою очередь, передал сообщение вице-президенту поставщика безопасности.
Это привело к тому, что уязвимость была исправлена в течение 48 часов.
В заявлении SonicWall говорится, что использование этой уязвимости требует от злоумышленника получения конкретного идентификатора владельца учетной записи арендатора.
Они, по словам SonicWall, полностью защищены и не являются общедоступными.
Затем злоумышленнику нужно будет связать нового пользователя с идентификатором арендатора существующего владельца учетной записи.
Стикас назвал это «неточным и вводящим в заблуждение» и сказал, что, поскольку его компания нашла идентификаторы арендаторов, они были незащищенными и общедоступными.
Кроме того, идентификаторы арендаторов последовательно пронумерованы, что позволит хакеру их вычислить.
— Разница между классным продавцом и некрутым заключается в том, как они относятся к отчету. По нашему мнению, SonicWall не справилась с этим хорошо, а затем сознательно подвергла каждого из своих облачных клиентов удаленному pwnage в течение 14 дней»,-сказал Стикас.
