赏金黑客发现Slack中的多个漏洞,仅获得1750美元的赏金1,750美元。利用这些漏洞,攻击者可以简单地上传一个文件并将其与另一个Slack用户或频道共享,从而触发对受害者的Slack应用程序的攻击。在2020年1月与Slack私下分享的详细帖子中,EvolutionGaming安全工程师OskarsVegeris分享了有关该漏洞的大量细节。“通过任何应用内重定向-逻辑/开放重定向、HTML或javascript注入,Slack桌面应用程序中的任意代码执行都是可能的。该报告演示了一种特制的漏洞利用,包括HTML注入,以及安全控制Path和RCEJavascript有效负载。这exploit已经过测试,可以在最新的SlackforDesktop(4.2、4.3.2)版本(Mac/Windows/Linux)上运行。”伴随HackerOne文章的Vegeris的5秒视频演示,展示了他如何使用JSON文件通过Slack桌面应用程序触发本地计算器应用程序的启动。几个严重的漏洞该公司本周公开的HackerOne报告显示,工程师列出了Slack应用程序可能被利用的多种方式。利用的最终结果是在客户端(即用户的计算机)执行任意代码,而不是在Slack的后端执行代码。由于files.slack.com代码的固有弱点,攻击者可以实现HTML注入、任意代码执行和跨站点脚本(XSS)。Vegeris发布的一个HTML/JavaScript概念验证(PoC)漏洞显示了通过将有效负载上传到Slack来启动本机计算器应用程序或他们想要的任何其他应用程序是多么容易。当HTML文件的URL插入到SlackJSON表示的区域标签中时,“一键式RCE”在用户计算机上启用。区域标签内的URL链接将包含Slack桌面应用程序的URL,”工程师说。HTML/JS漏洞可以执行攻击者给出的任何命令。“之前报道的键盘记录也可能适用,”Vegeris在另一条评论中说,他指的是MattMattlolois提交的2019年错误报告。那是赏金吗?Vegeris在负责任的披露上投入了大量时间最后,只授予了1,750美元的漏洞赏金,这与Infosec不相称。Twitter上的普遍共识是,Slack是一家价值200万美元的大型公司使用的消息应用程序,如果它在非法暗网市场上出售此类漏洞并面临严重后果(这将使工程师获得1,750美元的可观收入),情况会更好.Mashable报告了用户进一步抨击Slack的实例,例如:DanielCuthbert,黑客和OWASPASVS标准的合著者,在“Slack,被数千人用于关键任务设计聊天、DevOps、安全、并购、列表是无穷无尽的。这位研究人员发现的缺陷导致在用户的计算机上执行任意命令,“推特帖子说。TL;DR那太好了。”Cuthbert恳求Slack为此类报告“支付适当的费用”,因为此类漏洞利用会在黑市上卖出更多。“为了所有这些努力,他们获得了1750美元的奖励。一百七十美元。@SlackHQ首先,缺陷是一个很大的问题,我的意思是验证很难,但是来吧,然后请适当付费。在exploit.in上。”在两个月前发布的一篇宣传博客文章中,Slack称赞了其“应用程序沙箱”功能,而不是透露导致其开发的漏洞利用细节,该公司还忘记归功于Vegeris(现已更正”)就在这时,Vegeris要求本周公开披露有关HackerOne的信息,并邀请Slack真诚地道歉。“我叫LarkinRyder,目前在Slack担任临时首席安全官。@brandenjordan引起了我的注意,对于您对工作的任何疏忽,我深表歉意。我们非常感谢你为使Slack变得更安全所付出的时间和努力,”莱德在报告中说。“虽然安全团队没有写这篇博文,而且作者不了解你在H1的工作,但我们应该采取额外的措施,确保每个为该领域的改进做出贡献的人都得到认可。我会调查并进行适当的更新。再次,对于我们的任何失误,我们深表歉意,”莱德继续说道,并感谢工程师。专有的商业交流平台Slack拥有超过1000万的每日活跃用户,并且在许多工作场所都有特色。是一个公认的品牌。虽然Slack可能已经修补了在报告的五个多星期内出现漏洞,此类案例凸显了消息传递应用程序可能造成的潜在损害,因为如果存在安全漏洞,它会不断增加其功能列表(例如文件上传)和客户端数量.
