PT-2012-33: Множественные уязвимости в Sanuel Family

Уязвимое ПО

Sanuel Family
Версия: 11.1.0 и более ранняя

Ссылка на приложение:
http://www.sanuel.com/ru/family/
https://play.google.com/store/apps/details?id=com.familymobile

Рейтинг опасности

Уровень опасности: Высокий
Воздействие: Внедрение операторов SQL, раскрытие информации
Вектор атаки: Удаленный

CVSS v2:
Base Score: 10
Vector: (AV:N/AC:L/Au:N/C:C/I:C/A:C)

CVE: отсутствует

Описание программы

Sanuel Family — программа, предназначенная для управления личными финансами. Позволяет вести бюджет семьи, финансовый учет малого бизнеса, а также заниматься анализом и учетом инвестиций. Мобильное приложение Family Mobile позволяет синхронизировать личные расходы с версией программы для ПК.

Описание уязвимости

Специалисты исследовательского центра Positive Research обнаружили множественные уязвимости в Sanuel Family.
Уязвимости обнаружены в протоколе обмена данными мобильного и настольного приложений с сервером синхронизации программы. Злоумышленник может перехватить служебные учетные данные, используемые для хранения информации на сервере синхронизации, а также подменить SQL-запросы к базе данных, либо внедрить код в передаваемые XML-данные, что может привести к копированию, искажению или уничтожениюпользовательских данных, а также к компрометации сервера синхронизации.

Учетные данные пользователя СУБД, а также запросы к ней: логин, хэш пароля, имя БД а также SQL-запросы передаются открытым текстом по незашифрованному каналу. Перехватив и изменив трафик, злоумышленник может получить эти данные в виде открытого текста либо исказить их.

Данные анализатора пакетов:
host: 78.108.89.191
user: family_user
base: b25764_family
pwd_hash: 6e279eaabccc3ef3e22872e1ab3fe571c7568e97
---------------------------
Проверка и выгрузка данных

select u_id from users where u_login='HERE_WAS_MY_LOGIN'\r\n
SHOW TABLES FROM b25764_family LIKE 'users'
SHOW COLUMNS FROM b25764_family.users LIKE '%'
Set NAMES cp1251\r\n
select tr_account,tr_cat,tr_tag,tr_payee,tr_dat,tr_sum,tr_comment,ac_name,ac_currency from transactions left join accounts on transactions.tr_account=accounts.ac_account where transactions.user_id=3293 and accounts.u
SHOW TABLES FROM b25764_family LIKE 'transactions'
SHOW COLUMNS FROM b25764_family.transactions LIKE '%'

Решение

Отсутствует

Статус уведомления

27.08.2012 - Производитель уведомлен
27.08.2012 - Производителю отправлены детали уязвимости
26.09.2012 - Детали уязвимости отправлены в CERT
03.10.2012 - Публикация уязвимости

Благодарности

Уязвимость обнаружил Денис Горчаков (Исследовательcкий центр Positive Research компании Positive Technologies)

Ссылки

http://www.securitylab.ru/lab/PT-2012-33

Список отчетов о ранее обнаруженных уязвимостях Positive Research:

http://www.ptsecurity.ru/lab/advisory/
http://www.securitylab.ru/lab/

Уязвимости