2022-03-28 13:46:49
Mail.Kz - небезопасный портал электронной почты.
Мы всецело поддерживаем наши отечественные разработки. Мы понимаем как сложно создавать свой продукт или сервис. Поэтому помогаем отечественным компаниям повышать свою безопасность.
Однако, мы понимаем, что предоставляя услуги сотням тысяч или миллионам пользователей, граждан Казахстана, владелец сервиса несёт ответственность за информационную безопасность своих клиентов в рамках действующего законодательства.
К сожалению, не все разработки имеют должный уровень защиты конфиденциальных данных и что важнее, не все владельцы реагируют на сообщения о найденных уязвимостях в принципе. Ведь каждую из них можно быстро устранить, если этого желает владелец сервиса.
В рамках функционирования национальной площадки BugBounty.kz специалистом @ptswarm Игорем Сак-Саковским была выявлена критическая XSS уязвимость на национальном портале электронного сервиса «Mail.kz», приводящая к полной компрометации почты пользователей почтового сервиса и возможность захвата аккаунта сервисов, которые используют данную почту для авторизации.
Одним из способов эксплуатации уязвимости является компрометация всех почтовых сообщений, к тому же он дает возможность отправлять сообщения от имени жертвы-пользователя.
Используя эту уязвимость, злоумышленник может перехватить конфиденциальные рабочие переписки жертвы, содержащие критическую информацию.
Под критичными данными подразумевается письма содержащие материалы по расследованиям, содержащим персональные медицинские данные, финансовая документация организаций, инсайдерская информация касательно потенциальных сделок, которые нанесут существенный финансовый и репутационный урон жертве.
Уязвимость в особенности критична, учитывая, что данным почтовым сервисом пользуются не только рядовые граждане Казахстана, но и государственные органы, как МВД, МинЗдрав, МинОбразования, МинСельХоз, ряд областных, городских, районных больниц, клиник и поликлиник по всему Казахстану, а также районные акиматы по всему Казахстану.
Информация о данной критичной уязвимости известна владельцам платформы минимум с ноября 2021 года (!), но при этом, обратная связь не была получена, и данная уязвимость не устранена по сей день, поэтому угроза сохранности данных до сих пор остается актуальной.
Ситуация с наличием данной уязвимости в особенности критична, учитывая нестабильную обстановку в соседних странах и постоянно растущее количество кибератак, как на частные сервисы, так и на государственные.
Для примера у Gmail, Mail.Ru, Yandex и других мировых крупных почтовых систем существуют выстроенные механизмы работы с получением уязвимостей от независимых экспертов и регламент по их устранению. Они привлекают Bug Bounty платформы с тысячами исследователей для более эффективного выявления различных уязвимостей и дальнейшего регулирования их исправлений.
Мы раскрываем публично данную уязвимость, так как "достучаться" до владельца сервиса за 4 месяца не получилось.
ЦАРКА предупреждает, что использование платформы Mail.kz на сегодняшний день влечет критические риски для текущих ее пользователей.
Технические детали:
Причиной наличия уязвимости является использование уязвимой версии клиента Zimbra и способ реализации отправки сообщений. Перехватив запрос на отправку сообщения, в теле можно заметить передачу HTML-кода через параметр "_content", замена которого приведет к исполнению JavaScript кода на стороне получателя. Технические подробности прикладываем в видео. Код эксплоита был замазан.
Update: Уязвимость исправлена
3.6K viewsedited 10:46