Una segnalazione da parte degli esperti di sicurezza di WithSecure ha permesso ai gestori della piattaforma Mend.io di creare e applicare una patch per prevenire l’esposizione di informazioni di sicurezza potenzialmente compromettenti sui clienti della piattaforma stessa. Non risultano attacchi condotti sfruttando la falla in questione, nonostante la piattaforma fosse un bottino molto appetibile per gli attaccanti, che avrebbero potuto pianificare attacchi mirati contro software vulnerabili identificati proprio a seguito dei dati trafugati da Mend.io.

La questione era piuttosto delicata considerato che Mend.io (anche nota come WhiteSource), è una società di sicurezza delle applicazioni che supporta gli sviluppatori di software nell’identificazione e nella correzione di eventuali vulnerabilità e problemi di sicurezza riscontrati nelle librerie di codice. Secondo il sito web ufficiale dell’azienda, la piattaforma conta oltre mille clienti, tra cui il 25% delle aziende Fortune 100.

La falla scoperta dal personale di WithSecure si celava nell'opzione di login SAML (Security Assertion Markup Language) di Mend.io. Si tratta di un tipo di autenticazione single sign-on che consente agli utenti di accedere a una serie di servizi online con un unico set di credenziali di accesso. Un attaccante avrebbe potuto utilizzare l'implementazione SAML vulnerabile per accedere ai dati di un sottoinsieme di altri clienti di Mend.io nello stesso ambiente software-as-a-service (SaaS), indovinando o ottenendo in altro modo un indirizzo email valido da un'organizzazione bersaglio. Mend.io dispone di numerosi ambienti SaaS, con molti clienti in ambienti isolati.

Nel report ufficiale Ari Inki, Chief Architect di WithSecure, spiega che "in pratica, il servizio di single sign-on accettava l'indirizzo email di qualsiasi cliente legittimo senza alcuna autenticazione aggiuntiva. Agli attaccanti sarebbe bastato ottenere un account Mend.io in un ambiente SaaS specifico, configurarlo in modo che accettasse il metodo di autenticazione single sign-on e quindi utilizzare un indirizzo email per l'account dell'azienda bersaglio: tutti passaggi fattibili dai criminali informatici di oggi".

Fortunatamente nulla di questo è accaduto perché a maggio 2023 WithSecure ha contattato Mend.io esponendo il problema e l’azienda si è subito mossa di concerto con gli esperti per realizzare una patch che è già stata implementata nella piattaforma. Ai clienti non è richiesta alcuna azione: dato che di tratta di un’applicazione cloud, è sufficiente che la patch sia stata installata sui server per chiudere la falla e impedire agli eventuali attaccanti di sfruttare la falla in questione.