تم اكتشاف ثغرة خطيرة في تطبيق Slack التعاوني الشهير تسمح بتنفيذ التعليمات البرمجية عن بُعد (RCE). بحيث يمكن للمهاجمين الحصول على تحكم كامل عن بعد للتطبيق الذي يعمل على جهاز الكمبيوتر من خلال الاستغلال الناجح، وبالتالي الوصول إلى القنوات الخاصة والمحادثات وكلمات المرور والرموز والمفاتيح والوظائف المختلفة.
التقرير الأمني الذي صدر عند اكتشاف الخطأ يصنفه بين تسعة و10 على مقياس شدة الضعف في التأثير CvSS، ويتضمن البرمجة النصية عبر المواقع (XSS) وإدخال HTML. تطبيق Slack for Desktopلأنظمة (Mac / Windows / Linux) قبل الإصدار 4.4 عرضة للخطر، حيث يمكن للقراصنة اختراقها والاختباء في شبكاتها الداخلية.
أرسل أحد صائدي الأخطاء، الذي يستخدم المقبض “oskarsv”، تقريرًا عن الخطأ إلى Slack عبر منصة HackerOne وربح 1500 دولار أميركي. يوضح التقرير استغلالًا مصممًا خصيصًا يتكون من حقن HTML وفي كيفية تجاوز التحكم في الأمان وحمولة RCE JavaScript.
خطأ حرج في تطبيق Slack
وفقًا للكتابة الفنية التي تم الكشف عنها، يمكن للمهاجمين تشغيل ثغرة عن طريق الكتابة فوق وظائف “env” لتطبيق Slack على الكومبيوتر لإنشاء نفق عبر BrowserWindow، ومن ثم تنفيذ جافا سكريبت تعسفي، في “حالة XSS غريبة”، بحسب التقرير الأمني.
لاستغلال الخطأ، سيحتاج المهاجمون إلى تحميل ملف على خادمهم الذي يدعم HTTPS. بعد ذلك، يمكنهم إعداد منشور Slack مع حقنة HTML تحتوي على عنوان URL للهجوم الذي يشير إلى هذه الحمولة. بعد ذلك، لا يحتاجون إلا إلى مشاركة هذا المنشور مع قناة أو مستخدم Slack عام. إذا نقر المستخدم على الصورة المفخخة، فسيتم تنفيذ الكود على جهاز الضحية.
في سياق آخر، اكتشف الباحث الأمني أيضا أن رسائل البريد الإلكتروني (عند إرسالها كنص عادي) يتم تخزينها من دون تصفية على خوادم Slack، وهو موقف يمكن إساءة استخدامه من أجل تخزين حمولة RCE بدون أن يحتاج المهاجمون إلى امتلاك استضافة خاصة بهم.
وأوضح أنه “نظرًا لأن التطبيق مجال موثوق به، فقد يحتوي على صفحة تصيد تحتوي على صفحة تسجيل دخول مزيفة إلى Slack أو محتوى عشوائي مختلف يمكن أن يؤثر على كل من أمان وسمعة التطبيق”. وبغض النظر عن النهج المتبع، يمكن استخدام الثغرات الأمنية المذكورة أعلاه لتنفيذ أي أمر يريده المهاجم.
بالتالي، يجب على المستخدمين التأكد من ترقية تطبيقات Slack الخاصة بالكمبيوتر إلى الإصدار 4.4 على الأقل، بهدف تجنب الهجمات المحتملة من الأشخاص السيئين والقراصنة الذين يطلبون فدية.
