Gli specialisti della sicurezza informatica hanno rivelato la scoperta di una vulnerabilità cross-site scripting (XSS) in Apache Velocity Tools che potrebbe essere sfruttata dagli autori delle minacce per compromettere i siti web del governo degli Stati Uniti, inclusa la NASA. Il difetto è stato segnalato 90 giorni fa, anche se ad oggi sembra non essere stato corretto. Si tratta di un motore di modelli basato su Java e utilizzato dagli sviluppatori per progettare viste in un’architettura Model-View-Controller. Velocity Tool è un sottoprogetto che comprende classi che rendono ancora più semplice l’integrazione di Velocity nelle applicazioni web.
Gli esperti affermano che il difetto è presente in tutte le versioni di Velocity Tools anche se da mesi è stata rilasciata una correzione. Sebbene il processo di divulgazione formale non sia stato completato, il difetto è stato identificato come CVE-2020-13959.
La classe Apache Velocity Tools che contiene questo difetto è inclusa in oltre 2600 binari unici di importanti applicazioni software disponibili per il download da npm, PyPI, Maven Central e altri repository open source. Questo è un compositore molto popolare tra gli sviluppatori, quindi questo rapporto è fondamentale.
Jackson Henry, ricercatore di sicurezza presso Sakura Samurai, ha segnalato per la prima volta il difetto nell’ottobre 2020; mentre veniva emessa la suddetta correzione, non si è mai verificato un rapporto pubblico, che si è rivelato preoccupante per il ricercatore e alcuni sviluppatori.
Il difetto esiste nel modo in cui la classe di visualizzazione VelocityViewServlet esegue il rendering delle pagine di errore. Quando si accede a un URL non valido, la pagina di errore “modello non trovato” riflette la parte del percorso della risorsa dell’URL così com’è, senza sfuggire ai possibili script XSS. Successivamente, un attore di minacce potrebbe indurre una vittima a fare clic su quell’URL, portando a una piattaforma di phishing in cui possono estrarre informazioni sensibili.
Le implementazioni vulnerabili vengono utilizzate da più siti Web del governo degli Stati Uniti, tra cui .nasa.gov e. gov.au. Esistono alcune varianti più complesse dell’attacco, inclusi gli attacchi di ingegneria sociale, che consentirebbero agli autori delle minacce di raccogliere cookie di sessione dagli utenti registrati e dirottare un gran numero di sessioni.