Il Cyber Security Researcher di Swascan ha portato alla luce alcune criticità legate alla web app di uno dei principali player nel mercato dei software di meeting online, desktop sharing e videoconferenza oggi presenti sul mercato.
Sono state infatti individuate alcune potenziali problematiche che avrebbero potuto essere sfruttate dai criminal hacker per attaccare GoToMeeting.
Dopo l’identificazione di queste vulnerabilità, gli esperti del team hanno condiviso i loro risultati con il PSIRT della società americana attraverso una Responsible Vulnerability Disclosure, contenente tutte le informazioni necessarie per l’attività di Remediation.
GoToMeeting ha decommissionato il server che potrebbe aver causato potenziali problemi eliminando questo rischio per i suoi utenti. Le criticità riscontrate potrebbero aver influito sulla business continuity, sulla sicurezza dei dati e delle informazioni degli utenti e sul regolare funzionamento dei servizi.
“Finalmente, il mondo della Cyber security sta vivendo una sorta di ‘disgelo’ a favore del principio di collaborazione tra i vari attori, fino a qualche anno fa un vero e proprio tabù. Siamo estremamente soddisfatti della tempestiva e professionale collaborazione tra Swascan e LogMeIn, l’azienda dietro GoToMeeting”, ha commentato co-fondatore di Swascan, Pierguido Iezzi.
“È un dato di fatto che i rischi sono aumentati con l’interconnessione di tutto ciò che ci circonda e lo stesso vale per le imprese. Questo ha reso necessario ripensare come affrontare le Cyber minacce, non solo sul piano tecnico, ma anche sul piano culturale. Ciò ha indubbiamente favorito la cooperazione tra gli attori”.
“La nostra esperienza con GoToMeeting è un chiaro esempio di quanto possa essere efficace questo Paradigm Shift. Una vera e propria colonna portante per ogni Cyber Security Framework”, ha infine aggiunto Iezzi.
I dettagli
Le criticità scoperte andavano ad impattare aspetti di: Confidentiality; Integrity; Availability.
Ecco le vulnerabilità che appartenevano alle seguenti categorie CWE:
- CWE-20 (Improper Input Validation): Il prodotto non convalida o convalida erroneamente gli input che possono influenzare il flusso di controllo o il flusso di dati di un programma. Quando il software non convalida correttamente l’input, un aggressore è in grado di crearne in una forma che non è prevista dal resto dell’applicazione. Questo porterà parti del sistema a ricevere input non intenzionali, che possono comportare un flusso di controllo alterato, un controllo arbitrario di una risorsa o un’esecuzione arbitraria del codice;
- CWE-287 (Improper Authentication): Quando un attore dichiara di avere una determinata identità, il software non prova o prova in modo insufficiente che la dichiarazione è corretta;
- CWE-476 (NULL Pointer Dereference): Una dereferenza del puntatore NULL si verifica quando l’applicazione dereferenzia un puntatore che si aspetta di essere valido, ma è NULL, causando tipicamente un incidente o un’uscita.