Vulnerabilità nel processo di recupero dell'username e password del pannello di controllo/area clienti di register.it

Sommario:

A seguito di un test di sicurezza eseguito su un account register.it di nostra proprietà, abbiamo individuato delle vulnerabilità nel processo di recupero username e password del pannello di controllo/area clienti, messo a disposizione tramite il sito web di register.it. Queste procedure, da utilizzare nel caso in cui risulti impossibile accedere al servizio a causa dello smarrimento o dell'indisponibilità delle credenziali, permettono ad un attaccante di ingannare il servizio clienti facendosi inviare via e-mail sia l'username che il link per il reset della password.

Quanto descritto sopra sfrutta la mancata anonimizzazione del Whois e le procedure di identificazione basate sulla normativa dell'autocertificazione - DPR 8/12/2000 n. 445.

Nel mese di febbraio, sono state inviate segnalazioni a Register S.p.A riguardanti vulnerabilità rilevate nel loro processo di recupero dell'username e password del pannello di controllo/area clienti.

Verificando dopo oltre due mesi che i nostri colloqui non risultavano costruttivi, abbiamo deciso di approfondire la natura delle vulnerabilità e di procedere con la divulgazione pubblica nell'ultima decade di maggio.

Dettagli tecnici:

Elementi che consentono l'artefatto:

Link alla procedura di invio documentazione per recupero password:

Link al modulo di recupero password:

Proof of Concept (POC) dello sfruttamento degli elementi sopra indicati:

Nel campo "Email attiva", l'attaccante inserisce l'indirizzo email con il quale vuole comunicare con register.it per il recupero delle credenziali (es. [email protected])

Nel campo "Il tuo messaggio", l'attaccante comunica di aver perso username e password a causa di un ransomware, chiedendo di proseguire la comunicazione all'indirizzo e-mail [email protected]

L'attaccante compila il modulo disponibile al link: https://www.register.it/wp-content/uploads/modulo-recupero-pswITA2020-2.pdf. Ottiene il documento di identità e il codice fiscale dell'Admin Contact tramite social engineering o fornendo documentazione falsa ma compatibile con i controlli del codice fiscale.

dopo aver superato il reCAPTCHA.

Se l'attacco ha successo, register.it contatta l'attaccante all'email fornitagli, con diverse comunicazioni tramite e-mail:

L'attaccante può ora accedere al pannello di controllo/area clienti, prendendo il controllo di tutti i servizi del target.

Da notare che l'account Google precedentemente utilizzato per l'accesso all'area clienti del nostro account, continua a funzionare senza ricevere alcuna notifica del cambio password dell'area clienti/pannello di controllo (che invece arriva al nuovo indirizzo e-mail) lasciando il legittimo proprietario ignaro dell'attacco in corso e dell'accesso di terzi ai pannelli di amministrazione dei suoi servizi.

Impatto:

Possibilità di modificare tutti gli elementi resi disponibili sul pannello di controllo per eseguire un ulteriori attacchi.

A mero titolo di esempio:

Possibilità di modificare i record DNS e di intercettare il traffico tramite attacchi man in the middle ed e-mail in the middle (e-mail gateway che intercetta tutta la posta, la archivia e la rispedisce alle caselle originali).

Possibilità di eseguire il furto del dominio generandosi il codice Auth-info.

Raccomandazioni per la mitigazione:

Consigliamo vivamente a Register.it di applicare al più presto controlli di verifica dell'identità più rigorosi nel processo di recupero credenziali, ad esempio utilizzando servizi terzi per la verifica digitale di uno dei seguenti documenti: il Passaporto con tecnologia NFC, la Carta di Identità Elettronica (CIE) o lo SPID.

Raccomandiamo anche a tutti gli utenti di Register.it, di anonimizzare le proprie informazioni Whois e di sostituirne i dati prima di anonimizzarli, qualora precedentemente resi pubblici, al fine di evitare attacchi allo storico del Whois che sortirebbero lo stesso effetto.

Divulgazione:

Queste vulnerabilità sono state scoperte in modo indipendente e segnalate a Register S.p.A a fine febbraio. Nonostante abbiamo notato l'implementazione di controlli di sicurezza per l'inserimento di nuovi clienti, supponiamo che non siano state intraprese azioni adeguate per affrontare le vulnerabilità indicate per tutti gli account creati prima della nostra segnalazione.

Pertanto, si è deciso di procedere con una divulgazione pubblica per informare i clienti di Register.it, in particolare quelli con account meno recenti, e la comunità di sicurezza informatica in generale.

Disclaimer - Dichiarazione di esclusione di responsabilità:

Il Proof of Concept (POC) presentato in questo documento è stato formulato esclusivamente a scopo illustrativo per spiegare meglio il problema della vulnerabilità riscontrata. In nessun caso deve essere utilizzato per azioni malevole o per violare la legge in vigore. Decliniamo ogni responsabilità per l'uso improprio del POC da parte di terzi.

Contatti:

---

Vulnerabilities in the username and password recovery process of the control panel/customer area of register.it

Summary:

Following a security test performed on a register.it account owned by us, we have identified vulnerabilities in the username and password recovery process of the control panel/customer area, made available through the register.it website. These procedures, to be used in case it is impossible to access the service due to loss or unavailability of credentials, allow an attacker to deceive customer service into sending both the username and the password reset link via email.

This exploit takes advantage of the lack of Whois anonymization and identification procedures based on the self-certification regulations of the italian law DPR 8/12/2000 n. 445.

In February, reports were sent to Register S.p.A regarding vulnerabilities identified in their username and password recovery process for the control panel/customer area.

After verifying that our discussions were not productive for over two months, we decided to further investigate the nature of the vulnerabilities and proceed with public disclosure in the last decade of May.

Technical details:

Elements that enable the exploit:

Link to the procedure for sending documentation for password recovery

Link to the password recovery form

Proof of Concept (POC) of the exploitation of the elements indicated above:

In the "Active Email" field, the attacker enters the email address with which they want to communicate with register.it for credential recovery (e.g., [email protected])

In the "Your message" field, the attacker communicates that they have lost their username and password due to a ransomware attack, requesting to continue communication at the email address [email protected]

The attacker fills out the form available at the link: https://www.register.it/wp-content/uploads/modulo-recupero-pswITA2020-2.pdf. They obtain the identity document and fiscal code of the Admin Contact through social engineering or by providing false documentation compatible with fiscal code checks.

If the attack is successful, register.it contacts the attacker at the provided email with various email communications:

The attacker can now access the control panel/customer area, taking control of all the target's services.

It should be noted that the Google account previously used to access the customer area of our account, continues to function without receiving any notification of the password change of the customer area/control panel (which instead arrives at the new email address), leaving the legitimate owner unaware of the ongoing attack and third-party access to the administration panels of their services.

Impact:

Ability to modify all elements made available on the control panel to carry out further attacks.

For example:

Ability to modify DNS records and intercept traffic through man-in-the-middle and email-in-the-middle attacks (email gateway that intercepts all mail, archives it, and resends it to the original mailboxes).

Ability to perform domain theft by generating the Auth-info code.

Recommendations:

We strongly advise Register.it to implement more rigorous identity verification controls in the credential recovery process as soon as possible, for example by using third-party services for digital verification of one of the following documents: Passport with NFC technology, Electronic Identity Card (CIE), or SPID.

We also recommend all Register.it users to anonymize their Whois information and change the data before anonymizing it, if previously made public, in order to avoid attacks on the Whois history that would have the same effect.

Disclosure:

These vulnerabilities were independently discovered and reported to Register S.p.A at the end of February. Although we have noticed the implementation of security controls for onboarding new customers, we assume that adequate actions have not been taken to address the indicated vulnerabilities for all accounts created before our report.

Therefore, it was decided to proceed with a public disclosure to inform Register.it customers, particularly those with less recent accounts, and the computer security community in general.

Disclaimer:

The Proof of Concept (POC) presented in this document is formulated solely for illustrative purposes to better explain the identified vulnerability. Under no circumstances should it be used for malicious actions or to break any applicable laws. We disclaim any responsibility for improper use of the POC by third parties.

Contacts: