Checkmarx研究人員在成功開採Meetup的2項漏洞後,利用腳本程式變更連結主辦單位PayPal帳號的電子郵件位址。圖片翻攝自:https://www.youtube.com/watch?v=bgRCoKfXzfE&feature=youtu.be, Checkmarx

專門追蹤軟體安全漏洞的Checkmarx在本周揭露,線上社團與活動平臺Meetup含有兩個安全漏洞,成功的攻擊將允許駭客接管活動,還可直接將金流導至駭客的帳號。

Checkmarx先是在Meetup上找到跨網站指令碼(Cross-site scripting,XSS)攻擊漏洞,允許駭客將腳本程式張貼到討論區中,當使用者以瀏覽器造訪該頁面時,只會執行該程式,卻看不到程式碼。

繼之Checkmarx又在Meetup上發現另一個跨站請求偽造(Cross-site Request Forgery,CSRF)漏洞,且若串連上述的XSS漏洞及CSRF漏洞,即可擴張駭客的權限,讓駭客成為某個活動的協辦單位(Co-Organizer)。

研究人員說明,當駭客把惡意的腳本程式注入社團的討論區時,只要造訪該頁面的是主辦單位,在執行惡意程式之餘還可利用CSRF漏洞,把駭客的角色變更為協辦單位,而讓駭客得以存取社團的所有功能,包括設定、建立活動、管理金錢或存取會員名單等。

在成功開採了這兩個漏洞之後,研究人員再利用一個腳本程式變更了連結主辦單位PayPal帳號的電子郵件位址,這意味著未來該社團因舉辦各種活動所收取的款項,都會流落到駭客所指定的帳號中,而且因為電子郵件已被變更,主辦單位也不會收到任何的郵件通知。

總而言之,串連上述兩個漏洞將讓駭客接管任何的Meetup社團,存取社團的功能與資產,還能將所有的款項導至任何的PayPal帳號中。Checkmarx是在去年底發現了相關漏洞並知會Meetup,而Meetup則是在今年7月中完全修復它們。


Advertisement

更多 iThome相關內容