Joel Aviad Ossi

Remote Code Execution in QuickBox Media Server

Developing a Remote Code Execution exploit for a popular media box

An online user on the popular internet board '4chan' has claimed to have hacked twitch and has delivered a large file of data for download

Twitch Source Code Leaked

CVE Report August 2021

This is a publication of a security report in regards to DMCA.com , multiple high risk findings have been discovered. DMCA.com did not reply or respond to the given publication deadline of 7 months

DMCA.COM Hack, Full Disclosure (With Proof-of-Concept)

![zero-day-vision-helpdesk-banner.png](https://websec.net/storage/public%2Fblog%2F605118a0c452ea0751962bdb%2F22e7cc06-e6fe-4749-9256-e3d799e3374b%2Fzero-day-vision-helpdesk-banner.png)

### Wat is Vision Helpdesk?
Vision Helpdesk is software voor helpdesk- en klantenondersteuning die is ontworpen om de dienstverlening van bedrijven te optimaliseren. Het biedt functies zoals ticketbeheer, incidenttracking en automatisering van klantenservice. Vision Helpdesk wordt wereldwijd gebruikt door organisaties, van startups tot grote bedrijven, om klantvragen efficiënt af te handelen. Met integratie van diverse communicatiekanalen biedt Vision Helpdesk een aantrekkelijke oplossing voor bedrijven van verschillende omvang.

### Het Responsible Disclosure-proces en de reactie van de leverancier

Bij WebSec B.V. hanteren we strikte ethische richtlijnen bij het behandelen van beveiligingsproblemen. We zorgen ervoor dat leveranciers worden geïnformeerd over kwetsbaarheden en voldoende tijd krijgen om deze op te lossen, voordat we overgaan tot volledige openbaarmaking. Ons proces begon met het indienen van een rapport over een kritieke kwetsbaarheid bij Vision Helpdesk, waarin een Insecure Direct Object Reference (IDOR) kwetsbaarheid werd aangetoond.

#### **Communicatietijdlijn:**

- **17 september (Leverancier)**:  
  Vision Helpdesk bevestigde de ontvangst van ons initiële kwetsbaarheidsrapport, informeerde ons dat het probleem was doorgegeven aan hun beveiligingsteam, en markeerde het ticket als kritiek.

- **21 september (Leverancier)**:  
  De leverancier reageerde opnieuw, maar toonde een misverstand over het probleem. In plaats van de kwetsbaarheid in hun code aan te pakken, vroegen ze om toegang tot een server waarop ze dachten dat onze helpdesk werd gehost. Dit gaf aan dat er verwarring was, omdat de kwetsbaarheid verband hield met hun software en niet met een specifieke server.

- **21 september (WebSec)**:  
  We reageerden snel en verduidelijkten dat we beveiligingsonderzoekers zijn en geen helpdesk beheren. We benadrukten dat het probleem in hun software lag, gaven extra details en vroegen hen om de kwetsbaarheid direct op te lossen.

- **8 oktober (WebSec)**:  
  Na meer dan twee weken zonder concreet vervolg van de leverancier, stuurden we een nieuwe melding waarin we de ernst van de kwetsbaarheid uitlegden en een duidelijke deadline stelden op 1 november 2024 om het probleem op te lossen. We waarschuwden dat we, indien er geen actie werd ondernomen, over zouden gaan tot Full Disclosure om de betrokken gebruikers zelf te beschermen.

- **Na 8 oktober**:  
  Vision Helpdesk reageerde niet meer op enige van onze meldingen na 8 oktober. Ondanks de ernst van het probleem en de duidelijke deadline om het op te lossen, stopten ze alle verdere communicatie.

Zonder reactie van de leverancier op 1 november, zijn we gestart met het direct informeren van hun klanten.

### Opschaling: Het informeren van Vision Helpdesk-klanten en het indienen van CVE- en Exploit-DB-verzoeken

Nadat Vision Helpdesk de deadline van 1 november 2024 had gemist, hebben we de situatie opgeschaald. Met behulp van tools zoals [Shodan.io](https://www.shodan.io/) en Google Dorks identificeerden we verschillende prominente klanten die Vision Helpdesk gebruikten en mogelijk kwetsbaar waren voor de exploit. Onder deze klanten bevonden zich een grote defensiecontractant en een bekende universiteit.

We namen direct contact op met deze klanten en legden de kwetsbaarheid en het bijbehorende risico uit. Twee van deze klanten namen onmiddellijk maatregelen om het probleem aan te pakken, hoewel we niet zeker weten welke klant welke actie ondernam. Een van hen verwijderde mogelijk het kwetsbare script volledig of implementeerde een IP-whitelist om de toegang tot het helpdeskplatform te beperken en zo ongeoorloofde toegang te voorkomen.

Daarnaast hebben we op **1 november** een CVE-verzoek ingediend bij [MITRE](https://cve.mitre.org/) om ervoor te zorgen dat de kwetsbaarheid wordt gevolgd en erkend door de wereldwijde beveiligingsgemeenschap. Daarnaast hebben we ook ons Proof-of-Concept ingediend bij [Exploit-DB](https://www.exploit-db.com/), zodat de bredere beveiligingsgemeenschap de benodigde informatie heeft om de kwetsbaarheid te begrijpen en aan te pakken.

Op **2 november** hebben we ook de Proof-of-Concept exploit vrijgegeven op onze GitHub-pagina, zodat gebruikers hun eigen installaties op deze kwetsbaarheid kunnen testen.

### De impact: Het verkleinen van het publieke aanvalsoppervlak

Door direct contact op te nemen met de klanten van Vision Helpdesk en de kwetsbaarheidsdetails in te dienen bij CVE, Exploit-DB en GitHub, denken we dat we het publieke aanvalsoppervlak voor deze kwetsbaarheid aanzienlijk hebben verkleind. Naarmate organisaties het kwetsbare systeem offline haalden of extra beveiligingsmaatregelen implementeerden, namen de kansen op exploitatie af. Nu er geen oplossing is van de leverancier, gaan we over tot volledige openbaarmaking van deze kwetsbaarheid om bewustwording te verspreiden en andere gebruikers te helpen hun systemen te beveiligen.

### De technische details: Serialized IDOR en de impact van sessievoorspelling

Laten we nu ingaan op het technische aspect van deze kwetsbaarheid.

De kern van deze kwetsbaarheid ligt in hoe Vision Helpdesk cookies beheert, in het bijzonder de `vis_client_local` cookie. Normaal gesproken worden in webapplicaties cookies zoals sessie-ID’s aangemaakt wanneer een gebruiker zich authentiseert om hun sessie te beheren. In dit geval kon de `vis_client_local` cookie echter worden gegenereerd zonder inloggen.

#### **Serialized IDOR**

Deze kwetsbaarheid is een **Serialized IDOR** (Insecure Direct Object Reference). Een **IDOR**-kwetsbaarheid ontstaat wanneer gebruikersinput (in dit geval de `vis_client_id`) kan worden aangepast om ongeoorloofde bronnen te benaderen.

In Vision Helpdesk is de `vis_client_local` cookie een geserialiseerd object, gecodeerd in Base64, dat gebruikersspecifieke attributen bevat, waaronder de `vis_client_id`, die de gebruiker uniek identificeert. Het probleem hier is dat de `vis_client_id` eenvoudig kan worden gemanipuleerd door een aanvaller.

1. **Cookie-structuur**:  
   De `vis_client_local` cookie is een Base64-gecodeerde string die een geserialiseerd object vertegenwoordigt. Dit object bevat gebruikersspecifieke attributen, zoals de `vis_client_id`. De `vis_client_id` is een statisch veld dat de huidige gebruiker in het systeem identificeert.

2. **Manipuleren van de cookie**:  
   Door de Base64-gecodeerde string in de `vis_client_local` cookie te extraheren en te decoderen, konden we het geserialiseerde object zien. Het sleutelveld om hier te misbruiken was de `vis_client_id`.  
   We hebben deze waarde aangepast, met één verhoogd of verlaagd om een andere gebruiker in het systeem te imiteren. Nadat we dit hadden aangepast, hebben we het object opnieuw gecodeerd in Base64 en de oorspronkelijke `vis_client_local` waarde vervangen door de nieuwe.

3. **Sessieovername via sessievoorspelling**:  
   De **impact** van deze Serialized IDOR-kwetsbaarheid is **sessievoorspelling**. Door geldige `vis_client_id`-waarden te raden of in te voeren, kan een aanvaller zelf geldige sessiecookies samenstellen. Dit stelt de aanvaller in staat om andere gebruikers te imiteren zonder hun authenticatie, omdat de server de gemodificeerde `vis_client_local` cookie als een geldige sessie beschouwt.

   In tegenstelling tot typische sessiebeheermechanismen die voorspelbare sessie-ID’s voorkomen, stelt het systeem van Vision Helpdesk een aanvaller in staat om een geldige sessie aan te maken door alleen de `vis_client_id`-waarde aan te passen. Dit resulteert in **sessievoorspelling**, waardoor ongeoorloofde toegang zonder gebruikersinteractie mogelijk wordt.

Deze combinatie van **Serialized IDOR** en de impact van **sessievoorspelling** verhoogt de ernst van de kwetsbaarheid, omdat aanvallers gebruikers kunnen imiteren zonder authenticatie, wat een groot beveiligingsrisico vormt.

### Download de Proof-of-Concept

Om systeembeheerders en beveiligingsteams te helpen verifiëren of hun versie van Vision Helpdesk kwetsbaar is voor deze exploit, hebben we een downloadbare **Proof-of-Concept** (PoC)-script beschikbaar gesteld. U kunt dit script gebruiken om uw installatie te testen en vast te stellen of deze is getroffen door de **Serialized IDOR**-kwetsbaarheid die in dit artikel wordt beschreven.

#### **[Download de Proof-of-Concept Script](https://github.com/websec/Vision-Helpdesk-Exploit)**

Gebruik deze PoC verantwoordelijk en test alleen systemen waarvoor u bevoegd bent. Als uw systeem kwetsbaar is, raden we sterk aan om onmiddellijk actie te ondernemen, zoals het uitschakelen van het getroffen script of het implementeren van toegangscontrolemaatregelen zoals een IP-whitelist totdat de leverancier een patch vrijgeeft.

### Conclusie: Overgaan naar Full Disclosure

Nu Vision Helpdesk het probleem niet tijdig heeft opgelost en we al contact hebben gehad met getroffen klanten, vinden we het noodzakelijk om over te gaan tot volledige openbaarmaking van deze kwetsbaarheid. We hopen dat door het bewustzijn te vergroten, andere gebruikers van Vision Helpdesk stappen zullen ondernemen om zichzelf te beveiligen tegen dit ernstige probleem.

We dringen er bij gebruikers van Vision Helpdesk op aan om onmiddellijk actie te ondernemen—ofwel door het kwetsbare script uit te schakelen of door contact op te nemen met de leverancier en een oplossing te eisen.

Bij WebSec B.V. blijven we toegewijd aan ethisch hacken en responsible disclosure, en we hopen dat deze casus herinnert aan het belang van goede beveiligingscommunicatie en snelle reactie op kwetsbaarheden.

**Blijf waakzaam, blijf veilig.**

*Neem voor meer informatie of als u benieuwd bent naar de beveiliging van uw applicaties, neem contact op via [websec.nl/contact](https://websec.nl/contact). Lees meer over onze pentestdiensten die kwetsbaarheden helpen voorkomen op [websec.nl/diensten/pentest](https://websec.nl/diensten/pentest).*

Een Serialized IDOR-kwetsbaarheid in Vision Helpdesk maakt sessievoorspelling mogelijk, waardoor aanvallers zonder authenticatie gebruikers kunnen impersonaten.

Kritieke kwetsbaarheid in Vision Helpdesk maakt onbevoegde sessietoegang mogelijk

A Serialized IDOR vulnerability in Vision Helpdesk enables session prediction, allowing attackers to impersonate users without authentication.

Critical Vulnerability in Vision Helpdesk Allows Unauthorized Session Access

![nis2_banner.png](https://websec.nl/storage/public%2Fblog%2F605118a0c452ea0751962bdb%2F7eb403cb-cdf7-4427-a51d-0efc2cbd3bb4%2Fnis2_banner.png)


Cyberaanvallen nemen in een alarmerend tempo toe. Bedrijven van alle groottes lijden hierdoor aanzienlijke reputatieschade en enorme financiële verliezen. De NIS2 (Netwerk- en Informatiesystemen Richtlijn 2) is het meest recente antwoord van de Europese Unie (EU) op deze verontrustende trend.

Weet je niet zeker hoe je je moet voorbereiden op de NIS2-richtlijn? In dit artikel leggen we de specifieke stappen uit om te voldoen aan de richtlijn. We bespreken ook de betrokken sectoren en mogelijke sancties voor niet-naleving, zodat je met een gerust hart kunt zorgen dat je geen wetten overtreedt of wordt blootgesteld aan aanvallen.

**Wat is de NIS2 Richtlijn?**

De NIS2 (Netwerk- en Informatiesystemen Richtlijn 2) is een wetgeving van de Europese Unie (EU) om de cyberbeveiliging van netwerken en informatiesystemen in de regio te verbeteren. De richtlijn is uitgevaardigd op 16 januari 2023, en EU-landen moeten deze tegen 17 oktober 2024 omzetten in nationale wetgeving.

**Waarom is NIS2 Belangrijk?**

Volgens het 2024 [Global Digital Trust Insights](https://www.pwc.com/dti) onderzoek van PwC is het percentage bedrijven dat te maken heeft gehad met datalekken die meer dan $1 miljoen hebben gekost, gestegen van 27% naar 36% ten opzichte van het voorgaande jaar. Dit wijst erop dat, ondanks bestaande maatregelen (zoals de NIS1), de vooruitgang in het verbeteren van de beveiliging niet bemoedigend is. Daarom zijn strengere richtlijnen nodig.

Hoewel NIS1, de eerste EU-wetgeving op het gebied van cyberbeveiliging, de lidstaten meer mogelijkheden gaf om cyberaanvallen te bestrijden, was de uitvoering ervan moeilijk. Er waren nogal wat tekortkomingen die het voor organisaties lastig en verwarrend maakten om te voldoen aan de eisen. Dit leidde tot fragmentatie op verschillende niveaus en maakte de invoering van NIS2 noodzakelijk.

Het doel van de NIS2-richtlijn is daarom:

- Versterken van bestaande beveiligingseisen.
- Verbeteren van de beveiliging van de toeleveringsketen.
- Vereenvoudigen van rapportageprocedures.
- Introduceren van strengere toezichtsmaatregelen en sancties, inclusief gestandaardiseerde boetes binnen de EU.

Deze uitbreiding van de NIS-richtlijn zorgt ervoor dat meer sectoren en entiteiten de juiste maatregelen nemen om de cyberbeveiliging in Europa op de lange termijn te verbeteren.

**Verschillen Tussen NIS1 en NIS2**

Op basis van de bovenstaande doelen zijn hier de belangrijkste veranderingen van NIS1 naar NIS2:

- **Ruimere Reikwijdte**: NIS2 bestrijkt een breder scala aan sectoren en entiteiten dan NIS1. Dit omvat zowel essentiële als belangrijke entiteiten. Essentiële entiteiten leveren kritieke diensten aan het publiek, terwijl belangrijke entiteiten een belangrijke rol spelen in de economie of samenleving. In totaal wordt geschat dat deze uitgebreide reikwijdte meer dan 160.000 organisaties in de EU omvat.
  
- **Grondige Beveiligingsverplichtingen**: De verwarring bij NIS1 kwam vaak door vage eisen en inconsistenties. **NIS2 zal dat aanpakken met meer specifieke beveiligingsverplichtingen** die kritieke gebieden omvatten, zoals risicobeheer, incidentdetectie en -respons, en bewustwording en training op het gebied van cyberbeveiliging.

- **Incidentrapportage**: NIS2 vereist dat organisaties **cybersecurity incidenten rapporteren** aan de autoriteiten, wat de verantwoordelijkheid vergroot. Deze verbeterde rapportage helpt autoriteiten cyberdreigingen beter te monitoren en coördineren in het geval van grote aanvallen. Onder de nieuwe richtlijnen moet een getroffen bedrijf een incident **binnen 24 uur na bewustwording** melden en een eindrapport indienen **niet meer dan een maand** later.

- **Handhaving via Sancties**: De EU neemt strikte maatregelen om NIS2 af te dwingen, met zware boetes voor wie niet voldoet. **Essentiële entiteiten** kunnen maximaal **€10 miljoen** of **2%** van hun wereldwijde jaaromzet boete krijgen, afhankelijk van welke hoger is. Belangrijke entiteiten kunnen een boete krijgen tot **€7 miljoen** of **1,4%** van hun wereldwijde omzet.

**Hoe Voor te Bereiden op NIS2 en Voldoen aan de Richtlijn**

Nu je begrijpt wat er op het spel staat en waarom deze nieuwe richtlijn belangrijk is, bespreken we hoe je je kunt voorbereiden op NIS2.

Hier zijn de belangrijkste maatregelen uit de [NIS2-richtlijn](https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32022L2555&qid=1706711760658#d1e3312-80-1):

- **Veilig systeembeheer en -ontwikkeling**: De beveiliging van je systemen, applicaties en infrastructuur is essentieel gedurende hun levenscyclus. Zorg ervoor dat je strikte beveiligingsmaatregelen toepast van ontwikkeling tot inzet en buitengebruikstelling, zoals richtlijnen voor veilig coderen en beheer van wijzigingen.

- **Risicomanagement en informatiebeveiliging**: Ontwikkel grondige risicobeheersingspraktijken en zorg dat je regelmatig je beleid bijwerkt om IT-kwetsbaarheden te identificeren en te beperken.

- **Incidentbeheer en openbaarmakingsbeleid**: Zorg voor een solide [incidentresponsplan](https://websec.nl/diensten/incidentrespons) om schade door beveiligingsincidenten te minimaliseren en snel te herstellen.

- **Beleid voor bedrijfscontinuïteit**: Zorg voor back-ups, rampenherstel en crisisbeheer, zodat de bedrijfsvoering ook bij verstoringen doorgaat.

- **Beveiliging van de toeleveringsketen**: Werk samen met betrouwbare dienstverleners en auditeer hun beveiligingspraktijken regelmatig. Wist je dat bijna 30% van de datalekken [wordt veroorzaakt](https://www.securitymagazine.com/articles/100447-third-party-attack-vectors-are-responsible-for-29-of-breaches) door aanvallen op derden?

- **Assetbeheer**: Houd een inventaris bij van alle belangrijke bedrijfsmiddelen en zorg voor hun beveiliging.

- **Cyberhygiëne en training**: Regelmatige [trainingen](https://websec.nl/en/services/security-awareness-training) voor medewerkers zijn cruciaal, omdat zij de eerste verdedigingslinie vormen tegen cyberdreigingen.

- **Encryptie en cryptografie**: Gebruik encryptie om gevoelige data te beschermen en definieer encryptiestandaarden en sleutels voor databeveiliging.

- **Beveiliging van personeelszaken (HR)**: Stel toegangscontrolemaatregelen op, zodat alleen bevoegde personen toegang hebben tot cruciale systemen en informatie.

- **Multi-factor authenticatie (MFA)**: Versterk de beveiliging door MFA in te zetten om ongeautoriseerde toegang te voorkomen.

**Hoe WebSec kan Helpen met NIS2 Compliance**

WebSec kan compliance vergemakkelijken door gespecialiseerde [NIS2-penetratietesten](https://websec.nl/diensten/nis2-pentest) die voldoen aan de vereisten van de nieuwe richtlijn. Onze NIS2 pentests identificeren en verhelpen kwetsbaarheden voor essentiële en belangrijke entiteiten, wat helpt om je beveiligingshouding te versterken en juridische of financiële verliezen te voorkomen.

In het geval van een inbreuk biedt WebSec 24/7 [incidentresponsdiensten](https://websec.nl/diensten/incidentrespons) die zorgen voor snelle en effectieve ondersteuning, ongeacht het tijdstip. Om een cultuur van cyberbewustzijn binnen je organisatie te bevorderen, bieden we uitgebreide [beveiligingstrainingen](https://websec.nl/diensten/beveiligingsbewustzijns-training) aan die je medewerkers de nodige vaardigheden en kennis bijbrengen om beveiligingsdreigingen te herkennen, te voorkomen en erop te reageren.

Wees vandaag nog proactief! [Neem contact op](https://websec.nl/aanvragen), en een van onze teamleden helpt je graag verder.

Met de toename van cyberaanvallen versterkt de EU’s NIS2-richtlijn de maatregelen op het gebied van cyberbeveiliging. Ontdek hoe je NIS2-compliance kunt waarborgen met WebSec.

Hoe Voorbereiden op de EU NIS2 Richtlijn

Gray Oshin

As cyberattacks grow, the EU’s NIS2 directive builds on NIS1 to provide more rigorous cybersecurity measures. Learn how to ensure NIS2 compliance with WebSec.

How to Prepare for the EU NIS2 Directive

Leer de verschillen en overeenkomsten tussen AttackForge en PlexTrac voor pentestbeheer en rapportage, inclusief alternatieven, om een weloverwogen keuze te maken.

AttackForge vs PlexTrac Vergelijking: Verschillen, Overeenkomsten en Alternatieven

Learn the differences and similarities between AttackForge vs PlexTrac for pentesting management and reporting, including alternatives to make an informed choice.

Websec / Blog
Securing Today. Tomorrow could be too late.

Critical Vulnerability in Vision Helpdesk Allows Unauthorized Session Access

How to Prepare for the EU NIS2 Directive

AttackForge vs PlexTrac Comparison: Differences, Similarities and Alternatives

Developing a Remote Code Execution exploit for a popular media box

Twitch Source Code Leaked

CVE Report August 2021

DMCA.COM Hack, Full Disclosure (With Proof-of-Concept)

Need Security?

Contact

Websec / Blog Securing Today. Tomorrow could be too late.

Critical Vulnerability in Vision Helpdesk Allows Unauthorized Session Access

How to Prepare for the EU NIS2 Directive

AttackForge vs PlexTrac Comparison: Differences, Similarities and Alternatives

Developing a Remote Code Execution exploit for a popular media box

Twitch Source Code Leaked

CVE Report August 2021

DMCA.COM Hack, Full Disclosure (With Proof-of-Concept)

Need Security?

Contact

Websec / Blog
Securing Today. Tomorrow could be too late.