Cómo explotar BigBlueButton para divulgar archivos y SSRF
En esta publicación, aprenderás cómo un atacante puede acceder a los archivos internos y realizar un ataque SSRF en la plataforma de conferencias web BigBlueButton.
Ni he encontrado esta vulnerabilidad crítica ni he recibido ningún crédito del CVE (CVE-2020–25042). Después de analizar y explorar la descripción disponible en varios blogs y foros públicos, he escrito esta publicación. Lo hago para ayudar a los entusiastas de la seguridad a educar sobre este tema.
No soy responsable de ningún daño causado a una organización que utilice este exploit y recomendaría a los usuarios que no exploten esta vulnerabilidad. Si lo hacen deben tener el consentimiento por escrito de la organización, ya que pueden exponer a la organización a ataques de otros hackers.
BigBlueButton es un sistema de conferencias web como Zoom, Google Meet, Microsoft Teams que admite interacción en tiempo real de audio, video, pantalla, archivos, etc. La mejor parte es que es un software de código abierto especialmente diseñado para el aprendizaje en línea y con fines educativos.
BigBlueButton anterior a 2.2.7 es vulnerable a la divulgación de archivos y al ataque de falsificación de solicitudes del lado del servidor (SSRF). Un usuario autenticado participante de una reunión y tiene un permiso o privilegio apropiado para cargar la presentación puede acceder a archivos internos del sistema. Lo puede hacer a través de la carga de archivos. También puede llevar a cabo un ataque SSRF a través de una URL diseñada en un archivo xlink.