專門關注軟體安全漏洞的Checkmarx在本週披露,線上社團與活動平臺Meetup含有兩個安全漏洞,成功的攻擊將允許駭客接管活動,還可直接將金流跳轉至駭客的賬號。
之後Checkmarx又在Meetup上發現另一個跨站請求偽造(Cross-site Request Forgery,CSRF)漏洞,且若串聯上述的XSS漏洞及CSRF漏洞,即可擴張駭客的許可權,讓駭客成為某個活動的協辦單位(Co-Organizer)。
研究人員說明,當駭客把惡意的指令碼程式注入社團的討論區時,只要訪問該頁面的是主辦單位,在執行惡意程式之餘還可利用CSRF漏洞,把駭客的角色變更為協辦單位,而讓駭客得以訪問社團的所有功能,包括設定、建立活動、管理金錢或訪問會員名單等。
在成功開採了這兩個漏洞之後,研究人員再利用一個指令碼程式變更了連線主辦單位PayPal賬號的電子郵件地址,這意味著未來該社團因舉辦各種活動所收取的款項,都會流落到駭客所指定的賬號中,而且因為電子郵件已被變更,主辦單位也不會收到任何的郵件通知。
總而言之,串聯上述兩個漏洞將讓駭客接管任何的Meetup社團,訪問社團的功能與資產,還能將所有的款項跳轉至任何的PayPal賬號中。Checkmarx是在去年底發現了相關漏洞並知會Meetup,而Meetup則是在今年7月中完全修復它們。