Categoria: Inteligência de vulnerabilidade

Classe de vulnerabilidade: Falsificação de solicitação entre sites (CSRF)

ID DA CAVERNA: CVE-2023-42027

Pontuação CVSS: 8,8

Nome do produto

IBM CICS TX Standard 11.1, Advanced 10.1, 11.1 e TXSeries para várias plataformas 8.1, 8.2, 9.1

‍

Sumário executivo

O CVE-2023-42027 é uma vulnerabilidade de falsificação de solicitação entre sites (CSRF) no IBM CICS TX. Essa vulnerabilidade permite que um invasor execute ações maliciosas e não autorizadas transmitidas por um usuário em quem o site confia. A pontuação base do CVSS para essa vulnerabilidade é 4,3.

Descrição:

Uma vulnerabilidade de CSRF ocorre quando um invasor engana um usuário para que ele execute uma ação indesejada em um site. O invasor faz isso enviando ao usuário um link ou e-mail especialmente criado que, quando clicado, executa a ação maliciosa. O site não sabe que o usuário não está autorizado a realizar a ação e, portanto, confia na solicitação.
No caso do CVE-2023-42027, um atacante poderia enviar à vítima um link que, ao ser clicado, faria com que a vítima realizasse uma ação não autorizada em um site. Por exemplo, o atacante poderia enviar à vítima um link que faria com que ela transferisse dinheiro de sua conta bancária para a conta do atacante.

Impacto:

O impacto do CVE-2023-42027 pode variar dependendo do site que está sendo atacado. No entanto, alguns impactos potenciais incluem:

• Acesso não autorizado a dados: um invasor pode usar uma vulnerabilidade de CSRF para roubar dados confidenciais de uma vítima, como o número do cartão de crédito ou o número do Seguro Social.
• Transações financeiras não autorizadas: um invasor pode usar uma vulnerabilidade de CSRF para fazer transações financeiras não autorizadas em nome da vítima, como transferir dinheiro de sua conta bancária para a conta do atacante.
• Interrupção do serviço: um invasor pode usar uma vulnerabilidade CSRF para interromper o serviço de um site, por exemplo, excluindo dados ou desativando recursos.
• Acesso não autorizado a dados: um invasor pode usar uma vulnerabilidade de CSRF para roubar dados confidenciais de uma vítima, como o número do cartão de crédito ou o número do Seguro Social.
• Transações financeiras não autorizadas: um invasor pode usar uma vulnerabilidade do CSRF para fazer transações financeiras não autorizadas em nome da vítima, como transferir dinheiro de sua conta bancária para a conta do atacante.
• Interrupção do serviço: um invasor pode usar uma vulnerabilidade CSRF para interromper o serviço de um site, por exemplo, excluindo dados ou desativando recursos.
  
  

Ações recomendadas:

As seguintes ações recomendadas podem ser tomadas para mitigar o risco do CVE-2023-42027:

• Instale o patch mais recente da IBM. A IBM lançou um patch para o CVE-2023-42027. Todos os usuários do IBM CICS TX devem instalar o patch o mais rápido possível.
• Ative o cabeçalho X-Frame-Options. Esse cabeçalho evitará que o site seja carregado em um quadro, que é um vetor de ataque comum para vulnerabilidades de CSRF.
• Implemente uma política de segurança de conteúdo (CSP). Um CSP pode ser usado para restringir os tipos de recursos que o site pode carregar, o que pode ajudar a impedir que invasores injetem código malicioso no site.
  
  

Etapas para aplicar a correção manualmente

Para aplicar a correção para o CVE-2023-42027 manualmente, você pode seguir as seguintes etapas:

1. Baixe o patch mais recente da IBM.
2. Pare o servidor CICS TX.
3. Aplique o patch na instalação do CICS TX.
4. Inicie o servidor CICS TX.
   
   

Conclusão:

O CVE-2023-42027 é uma vulnerabilidade séria que pode ser explorada por invasores para roubar dados, fazer transações financeiras não autorizadas e interromper o serviço de sites. Todos os usuários do IBM CICS TX devem instalar o patch mais recente ou implementar as soluções alternativas recomendadas o mais rápido possível.

O POC está disponível?

No momento da redação deste comunicado de segurança para o CVE-2023-42027, uma prova pública de conceito (POC) tinha não foi lançado. Os pesquisadores de segurança da Cloudsek estão monitorando continuamente quaisquer novas atualizações lançadas no CVE-2023-42027. Quaisquer atualizações adicionais serão fornecidas no mesmo comunicado para referências futuras.

CVE-2023-42027 é um ataque explorável remotamente, os atacantes poderiam tirar proveito disso e explorar alvos vulneráveis usando shodan e google dorks. Recomenda-se que os usuários afetados tomem as ações recomendadas mencionadas no comunicado de segurança acima.

‍

Referências

* IBM Security X-Force Exchange: CVE-2023-42027: https://exchange.xforce.ibmcloud.com/vulnerabilities/266057
* Suporte IBM: CVE-2023-42027: https://www.ibm.com/support/pages/node/7063664
‍