EMSigner CVE 3

Vulnerabilidad de referencia a objetos insegura en la gestión de documentos de aplicaciones web

Resumen

Nombre: Vulnerabilidad de referencia a objetos insegura en la gestión de documentos de aplicaciones web

Producto: EMSigner

Versiones afectadas: EMSigner version 2.8.7

Componente afectado: EndPoint/Areas/AdhocLogin/GETALLDOCUMENTSWORKDETAILSShareDownload y Web Parameter “DocumentId” y EndPoint /Areas/Share/InternalUserCompletedDownload y Web Parameter “ID”.

Tipo de ataque: Remoto 

Tipo de vulnerabilidad: Control de acceso incorrecto

Impacto: Divulgación de información

CVSSv3.1 Vector: AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

CVSSv3.1 Base Score: 6.5

CVE ID(s): CVE-2023-43900

Descripción

Las referencias directas a objetos (IDOR) inseguras en EMSigner v2.8.7 permiten a los atacantes obtener acceso no autorizado al contenido de la aplicación y ver datos confidenciales de otros usuarios mediante la manipulación de los parámetros documentID y EncryptedDocumentId.

Vulnerabilidad

La vulnerabilidad “Vulnerabilidad de referencia a objetos insegura en la gestión de documentos de aplicaciones web” tiene su origen en un manejo inseguro de referencias a objetos dentro de la funcionalidad de gestión de documentos de la aplicación web. Se produce porque la aplicación permite el acceso no autorizado a datos confidenciales relacionados con documentos al validar y controlar de forma inadecuada el acceso a parámetros específicos, como “DocumentID” y “EncryptedDocumentId”.

Vectores de Ataque

La vulnerabilidad se explota a través de Insecure Direct Object References (IDOR) manipulando los valores de los parámetros, en particular los parámetros “documentID” y “EncryptedDocumentId”. Un atacante obtiene acceso no autorizado al contenido de la aplicación y puede ver datos sensibles de otros usuarios.

Explotación de la vulnerabilidad

Durante la evaluación de la aplicación web para uno de nuestros clientes, realizamos una evaluación de una aplicación web que utilizaba el software emSigner. Ahora, hablando de emSigner, este software es una solución de automatización de documentos que ayuda a las organizaciones a eliminar completamente el papel de todos los flujos de trabajo y crear un ecosistema de automatización de documentos de extremo a extremo, digitalizando documentos utilizando firmas digitales legalmente válidas.

Mientras investigábamos esta aplicación web, descubrimos una vulnerabilidad que permite a un atacante obtener acceso al contenido de la aplicación manipulando los valores de los parámetros, concretamente los parámetros documentID y EncryptedDocumentId. Un atacante puede acceder a información no autorizada de otro usuario. Esto puede conducir potencialmente a un acceso no autorizado, la divulgación de información sensible.

A continuación, explicaremos esta vulnerabilidad y los pasos necesarios para explotarla.

Conectado como un usuario de bajo privilegio [email protected] y haciendo click en la opción de descargar documentos como se muestra en la figura 1, Un atacante intercepto la petición https://domain.com/Areas/AdhocLogin/GETALLDOCUMENTSWORKDETAILSShareDownload?WorkFlowID=&DocumentID=19 los consultores notaron que el parámetro DocumentId carga números secuencialmente para obtener información del documento.  Los consultores utilizaron la herramienta de intrusión burpsuite para enviar automáticamente números entre 1 y 999 como se muestra en la figura 1.

Figura 1. Enumeración de DocumentID

Los consultores analizaron la respuesta del servidor, centrándose en las respuestas de mayor tamaño y longitud, como se muestra en la figura 2.

Figura 2. Respuesta Verificación HTTP

Los consultores identifican las respuestas que contienen los parámetros “DocumentName” y “EncryptedDocumentId”, que revelan el nombre del documento y su identificador cifrado.

Figura 3. Respuesta Verificación HTTP

Con la información de la figura 3 los consultores manipularon la petición https://domain.com//Areas/Share/InternalUserCompletedDownload?ID=<EncryptedDocumentId> para descarga de documentos desde otros perfiles, proporcionando el valor “EncryptedDocumentId” en el parámetro web “ID”, permitiendo visualizar los documentos subidos desde el any como se muestra en la figura 4.

Figura 4. Explotación de IDOR

Remediación

Una versión actualizada de EMSigner está disponible en la página del proveedor.

Créditos

La vulnerabilidad fue descubierta por Jean Paul Granados de la empresa SecPro (https://secpro.co/ – https://secpro.llc/).

Referencias

Página de proveedor https://www.emsigner.com/

Línea de Tiempo

2023-02-27
Vulnerabilidad descubierta.

2023-05-08
Proveedor contactado.

2023-05-24
El vendedor respondió reconociendo el informe.

2023-09-01
Vulnerabilidad parcheada.

2023-10-27
Revelación pública.

https://www.emsigner.com/