WithSecure™ (precedentemente nota come F-Secure Business) ha pubblicato un avviso di sicurezza che avverte le organizzazioni di una vulnerabilità scoperta dalla società nella piattaforma di sicurezza delle applicazioni Mend.io.
La piattaforma di Mend.io aiuta gli sviluppatori di software a identificare e correggere vulnerabilità e problemi di sicurezza riscontrati nelle librerie di codice. Secondo il sito web di Mend.io, la piattaforma conta più di 1000 clienti, tra cui il 25% delle aziende Fortune 100.
Il personale di WithSecure™ ha scoperto un problema nell’opzione di login SAML (Security Assertion Markup Language) di Mend.io, un tipo di autenticazione single sign-on che consente agli utenti di accedere a una serie di servizi online con un unico set di credenziali di accesso.
La vulnerabilità scoperta da WithSecure™ avrebbe potuto consentire a un cliente di Mend.io, agente in qualità di attaccante, di utilizzare l’implementazione SAML vulnerabile per accedere ai dati di un sottoinsieme di altri clienti di Mend.io nello stesso ambiente software-as-a-service (SaaS), indovinando o ottenendo in altro modo un indirizzo email valido da un’organizzazione bersaglio. Mend.io dispone di numerosi ambienti SaaS, con molti clienti in ambienti isolati.
Mentre i dati contenuti negli account Mend.io variano da un’azienda all’altra, il suo utilizzo come piattaforma di sicurezza delle applicazioni rende probabile che gli attaccanti possano utilizzare le informazioni per pianificare attacchi mirati contro software vulnerabili che potrebbero identificare dai dati di Mend.io.
“In pratica, il servizio di single sign-on accetta l’indirizzo email di qualsiasi cliente legittimo senza alcuna autenticazione aggiuntiva. Gli attaccanti dovrebbero solo ottenere un account Mend.io in un ambiente SaaS specifico, configurarlo in modo che accetti il metodo di autenticazione single sign-on e quindi utilizzare un indirizzo email per l’account dell’azienda bersaglio: tutti passaggi che sono fattibili dai criminali informatici di oggi”, dichiara Ari Inki, Chief Architect di WithSecure™.
WithSecure™ ha contattato Mend.io esponendo le sue preoccupazioni nel maggio 2023. Mend.io ha risposto prontamente per confermare le conclusioni di WithSecure e le due aziende hanno iniziato a lavorare su una correzione, che ora è stata implementata nella piattaforma.
“La sicurezza dei dati dei nostri clienti è fondamentale per la nostra organizzazione e siamo felici che WithSecure sia stata proattiva nell’aiutarci a identificare e risolvere questo problema. Lavorando insieme, siamo stati in grado di muoverci rapidamente per garantire che la criticità fosse risolta prima che venisse utilizzata da qualsiasi attore di minacce per attaccare i nostri clienti”, afferma Robert Nilsson, Executive Vice President of Customer Experience di Mend.io.
