Il Vulnerability Hunting Team di Swascan ha contattato il PSIRT di Adobe in seguito ad un’attività di security monitoring. Il Team di Swascan, durante l’analisi di sicurezza svolta per una media company europea, ha trovato 5 vulnerabilità relative al Web Server di adobesandbox.com che, attraverso differenti host, gestisce il servizio Adobe Sandbox.
Adobe Sandbox
Adobe utilizza Adobe Sandbox per gestire la sicurezza. Una “sandbox” è un ambiente protetto usato per eseguire programmi untrusted. Questa tecnica, relativamente al contesto di Acrobat, consiste nell’eseguire ogni file PDF in questo ambiente protetto, in questo modo si riesce a minimizzare il rischio.
Ogni PDF, di default, viene considerato come potenzialmente pericoloso, questo è il motivo per cui ognuno di essi viene eseguito in una sandbox che limita alcune funzionalità e minimizza potenziali criticità.
Swascan
Swascan è la piattaforma di CyberSecurity Testing fondata da Raoul Chiesa e Pierguido Iezzi. Swascan è la prima piattaforma di CyberSecurity Testing sia In Cloud che On Premise, SaaS e All-in-One che permette di identificare, analizzare e risolvere vulnerabilità e problemi di sicurezza relativi a: siti internet, web application, network e codice sorgente. I servizi di Swascan garantiscono la Security Governance e la Compliance al GDPR. Inoltre, Swascan, ha sviluppato al suo interno un CyberSecurity Research Center.
Swascan è un player noto nel mercato, la piattaforma ha ricevuto importanti riconoscimenti sia da Cisco (Swascan è stata premiata da Cisco come piattaforma di CyberSecurity) che da MarketsAndMarkets (il noto centro di ricerca ha citato Swascan nella top 20 dei GDPR provider nel mondo) oltre che da key customer e partner in tutto il mondo.
Vulnerability Disclosure
Durante l’attività di security assessment per una media company Europea condotta da Swascan, il Security Research Team ha riportato al cliente che gran parte delle vulnerabilità e delle esposizioni trovate dipendevano da un servizio di terza parte: Adobe e il suo servizio Sandbox che il cliente ha acquistato per uso interno. Concretamente sono state rilevate 5 vulnerabilità distribuite come segue: High (1), Medium (2) e Low (2). Queste vulnerabilità, se sfruttate, possono facilmente impattare l’integrità, la disponibilità e la confidenzialità dei sistemi.
Proprio a questo proposito, Swascan ha immediatamente contattato lo staff del PSIRT di Adobe ed è iniziata una collaborazione proficua che ha portato alla risoluzione delle vulnerabilità identificate.
Ad ogni modo, questo articolo non ha lo scopo di discutere o rilevare le vulnerabilità identificate (nel caso ci fosse interesse per i dettagli, è possibile contattare direttamente Swascan). Lo scopo di questo articolo, invece, è quello di spostare l’attenzione sull’importanza di una collaborazione reale tra i software vendor e le aziende di CyberSecurity.
L’attenzione che Adobe ha dimostrato verso le nostre scoperte, unitamente agli scambi di e-mail, le valutazioni, le attività di remediation e i tempi di risoluzione sono stati tra i più seri, professionali e trasparenti che abbiamo potuto testimoniare nelle nostre carriere: complimenti agli esperti di security, i reverse engineer e i programmatori che lavorano ad Adobe. Questa fattispecie ha rispecchiato perfettamente il bisogno di una collaborazione tra le aziende di sicurezza informatica (Swascan) e i software vendor (il team di Adobe).
I CERT e i PSIRT hanno un ruolo fondamentale nell’ecosistema della sicurezza nel mondo digitale in cui viviamo. La nostra speranza è quella di trovare sempre più team preparati, proprio come il team di Adobe PSIRT che ha mostrato un comportamento esemplare oltre a elevata considerazione e cura verso i propri clienti.
Raoul “Nobody” Chiesa Swascan co-founder, InfoSec addicted
Pierguido Iezzi, Swascan co-founder, CyberSecurity Director
Per maggiori informazioni: [email protected]
