Scarica il bollettino VA-IT-140901-01.A

Early Warning
Bollettino VA-IT-140901-01.A
E ARLY W ARNING
V ULNERABILITY A LE RT
Guida alla corretta lettura della scheda riassuntiva
Early Warning - Bollettino VA-IT-140901-01.A
Template Version 6.140605
Pag. 2/6
E ARLY W ARNING
V ULNERABILITY A LE RT
CORRISPONDENZE
INFORMAZIONI GENERALI DELLA VULNERABILITÀ
TITOLO
Esecuzione di codice remoto via Appointment Booking Pro di Joomla
Data Pubblicazione
13/11/2014
Data di pubblicazione della vulnerabilità del CERT di
Poste Italiane.
PI-CERT ID
VA-IT-140901-01.A
Identificativo della vulnerabilità del CERT di Poste
Italiane.
CVE ID
CVE-2014-8470
Identificativo CVE1 della vulnerabilità.
STANDARD CVSS V2
CANDIDATE
METRICHE BASE DELLA VULNERABILITA’ (CVSS V2 BASE2)
Base Score
10 
Indicatore di pericolosità complessiva della vulnerabilità
secondo lo standard CVSS v.23(scala da 0 a 10).
Access Vector
NETWORK
La vulnerabilità è sfruttabile da remoto.
Access Complexity
LOW
Lo sfruttamento di questa vulnerabilità non implica la
compromissione di altri sistemi o l’utilizzo di specifici
schemi d’attacco.
Authentication
NONE
Per sfruttare questa vulnerabilità non è richiesta alcuna
autenticazione.
Confidentiality Impact
COMPLETE
L’impatto sulla riservatezza dei dati è completo.
Integrity Impact
COMPLETE
L’impatto sull’Integrità dei dati è completo.
Availability Impact
COMPLETE
L’impatto sulla disponibilità del sistema è completo.
METRICHE TEMPORALI DELLA VULNERABILITA’ (CVSS V2 TEMPORAL4)
Temporal Score
7.8 
Indicatore di minaccia della vulnerabilità che può mutare
nel tempo (scala da 0 a 10).
Exploitability
PROOF OF CONCEPT
Nella pubblicazione dell'advisory è stato incluso un PoC
per la verifica della vulnerabilità.
Remediation Level
OFFICIAL FIX
FIX ufficiali sono stati rilasciati per la copertura di questa
vulnerabilità.
Report Confidence
CONFIRMED
Le informazioni e i dettagli tecnici sulla vulnerabilità,
sono stati confermati da più fonti e dal vendor stesso.
Per maggiori informazioni sui campi compilati si rimanda alla pagina della “Guida alla corretta lettura della
scheda riassuntiva”.
1
CVE (Common Vulnerabilities and Exposures): Elenco di vulnerabilità fornita dal MITRE Corporation al fine di standardizzare i nomi e le
caratteristiche delle vulnerabilità.
2
Il gruppo "Base" dello standard CVSS v2 rappresenta l’insieme delle caratteristiche intrinseche della vulnerabilità.
3
CVSS (Common Vulnerabilities Scoring System): Metodologia per il calcolo della severità delle vulnerabilità.
4
Il gruppo "Temporal" dello standard CVSS v2 rappresenta l’insieme delle caratteristiche della vulnerabilità che mutano nel tempo.
Early Warning - Bollettino VA-IT-140901-01.A
Template Version 6.140605
Pag. 3/6
E ARLY W ARNING
V ULNERABILITY A LE RT
DESCRIZIONE DEL PROD OTTO
Appointment Booking Pro (ABPro) è un componente del noto CMS Joomla, che aggiunge specifiche
funzionalità per la gestione degli appuntamenti per tutte quelle categorie di business che lo richiedono. Tra
le varie funzionalità, all’atto dell’inserimento di un appuntamento, l’estensione prevede la possibilità di
interfacciarsi con sistemi di pagamento, supporto al Google Calendar e gestione di SMS.
INFORMAZIONI TECNICHE
Nell'ambito delle attività operative e di ricerca del Computer Emergency Response Team di Poste Italiane
(PI-CERT), un giovane ricercatore Italiano (Antonio Piccolo) e un Cyber Security Analyst (Giantonio Chiarelli)
dell’Italian Cyber Security District (DCS) coordinato da Poste Italiane, nel mese di Agosto 2014 hanno
individuato una vulnerabilità nel plugin Appointment Booking Pro di Joomla, un noto Content Managment
System (CMS). Il PICERT ha eseguito l’attività di Responsible Disclosure con il Vendor in accordo con le
proprie policy di Vulnerability Disclosure. Il bug è causato da una mancata validazione dell’input in
numerose pagine PHP, che consente di introdurre codice arbitrario malevolo tramite tecniche di SQL
Injection. Insieme all’advisory ufficiale è stato emesso un report comprendente un PoC per la verifica della
vulnerabilità, diversi scenari di attacco per il suo sfruttamento e suggerimenti per le opportune azioni di
rientro.
MITIGAZIONE
Per la correzione del problema, il produttore raccomanda l'aggiornamento alla nuova versione del
software.
Per maggiori informazioni si visiti il seguente link:
http://appointmentbookingpro.com/support2/5-announcements/14628-version-2-0-6.html#14628
SISTEMI VULNERABILI
Appointment Booking Pro 2.07_RC3
Early Warning - Bollettino VA-IT-140901-01.A
Template Version 6.140605
Pag. 4/6
E ARLY W ARNING
V ULNERABILITY A LE RT
BOLLETTINI CORRELATI
NON DISPONIBILI
RIFERIMENTI
Interni:
“AppointmentBookingPro Vulnerabilities Report.pdf”
Esterni:
http://extensions.joomla.org/extensions/vertical-markets/booking-a-reservations/appointment-aschedule/6250
Espliciti del produttore:
http://www.appointmentbookingpro.com/
Early Warning - Bollettino VA-IT-140901-01.A
Template Version 6.140605
Pag. 5/6
E ARLY W ARNING
V ULNERABILITY A LE RT
Termini e condizioni di utilizzo del bollettino
Le informazioni contenute nel presente bollettino sono fornite “così come sono”, a meri fini
informativi.
In nessun caso il CERT Poste Italiane può essere ritenuto responsabile di qualunque perdita,
pregiudizio, responsabilità, costo, onere o spesa, ivi comprese le eventuali spese legali, danno
diretto, indiretto, incidentale o consequenziale, derivante da o connesso alle informazioni
riportate nel presente bollettino.
La versione .pdf del bollettino è statica ed, in quanto tale, contiene le informazioni disponibili al
momento della pubblicazione.
Per definire al meglio le vulnerabilità, le operazioni svolte dal CERT di Poste Italiane necessitano di
scelte ben precise riguardo le minacce da considerare, le fonti di informazione ritenute più
autorevoli e competenti in materia, le modalità di filtraggio delle informazioni, la valutazione della
severity come metrica di base. Con particolare riferimento a quest’ultima - da intendersi quale
livello di pericolosità della vulnerabilità delle componenti di sistema o delle piattaforme - il CERT di
Poste Italiane provvede a rivalutare i parametri che concorrono al calcolo della “Base Score” e
“Temporal Score” secondo lo standard CVSS v.2 (Common Vulnerabilities Scoring System) e
conseguentemente ad attribuire il proprio rating, avvalendosi del tool messo a disposizione dal
sito del National Institute of Standards and Technology (http://nvd.nist.gov/cvss.cfm).
La diffusione, comunicazione, riproduzione, copia con qualsiasi mezzo delle informazioni
contenute nel presente bollettino sono rigorosamente vietate.
Non è consentito rivelare o comunicare in alcun modo a terzi tali informazioni, se non previa
autorizzazione scritta del CERT di Poste Italiane.
E’ obbligatorio adottare ogni precauzione necessaria ad impedire i rischi di accesso non
autorizzato, uso non consentito o indebita appropriazione di tali informazioni da parte di soggetti,
terzi o meno, non autorizzati.
Eventuali delucidazioni sui contenuti del presente bollettino possono essere richiesti via e-mail al
CERT di Poste Italiane all’indirizzo: cert@posteitaliane.it
Early Warning - Bollettino VA-IT-140901-01.A
Template Version 6.140605
Pag. 6/6