Il Dipartimento della Difesa degli Stati Uniti rivela gravi bug critici

Il Dipartimento della Difesa degli Stati Uniti ha rivelato oggi i dettagli su quattro vulnerabilità di sicurezza sulla sua infrastruttura. Due di loro hanno un livello di gravità elevato, mentre gli altri due hanno ricevuto un punteggio critico.

I difetti sono stati segnalati ad agosto e luglio. Potrebbero consentire agli aggressori di dirottare un sottodominio, eseguire codice arbitrario da remoto o visualizzare file sulla macchina interessata. Tutti i problemi sono stati segnalati tramite la divulgazione delle vulnerabilità del Dipartimento sulla piattaforma di bug bounty HackerOne da parte di hacker etici distinti.

Una delle vulnerabilità critiche è l’ acquisizione di un sottodominio a causa di un bucket Amazon S3 non rivendicato. L’hacker etico chron0x che ha riscontrato il problema afferma che potrebbe essere sfruttato per ospitare contenuti dannosi su un dominio legittimo.