Our Ethical Hackers discover new vulnerabilities
17 Sep 2020
17 Sep 2020

Our Team of Ethical Hackers, always at the forefront against cybercrime, has discovered a new WSO2 vulnerability.

“Hunting vulnerabilities is our bread and butter.” Gianluca Palma, Cyber ​​Security Specialist, was awarded for his contribution in 2019 by Microsoft and this year by WSO2.

Great job Cybertech Team!

ENGENG
ITAITA

Our interview to Gianluca Palma, Cyber ​​Security Specialist, Cybertech, Engineering Group

In the complex Cyber world, what is the value of discovering a new vulnerability? What are the benefits to the end users and the entire cyber community? 

Our goal is to protect customer data by limiting the number of potential entry points used by hackers, and software errors are one of those. Being familiar with the unknown vulnerabilities of a popular product is the hacker’s main advantage, a powerful attack tool against all end-users, a cyber weapon that remains powerful and valid until the vulnerability is finally discovered.

The benefits for the community are endless, especially when we discover vulnerabilities in open source products. In that case, developers around the world can take advantage of the suggested security fixes and try to prevent this type of attack on other products.

How did you discover the WSO2 vulnerability and what issues does it solve?

During one of the many Penetration Tests that are commissioned to the Cybertech Team, I happened to come across the WSO2 platform, recently it was nominated by Forrester among the 15 most important leading companies in “API Management” solutions.

The vulnerability in question allows a potential attacker to permanently redirect the browser to a malicious website, make changes to the WSO2 user interface, retrieve user information from the browser or otherwise damage the portal (defacement).

What does it mean for a cybersecurity professional to discover a new vulnerability?

For an Ethical Hacker, hunting for vulnerabilities is “our bread and butter”. But it is always a great satisfaction when the commitment and professionalism of one’s work is recognized. Discovering a vulnerability on an Open Source product gratifies me even more because it means that my TEAM has reached the objectives before “others” did. Let’s say that our job is a “mix” of passion, good technical skills, concentration, imagination and sometimes even a bit of luck.

How important is the collaboration between Ethical Hackers for the evolution of Cybersecurity solutions and the fight against cybercrime?

Sharing is an intrinsic feature of the hacker culture. I believe that sharing experiences, discoveries and achievements, can only improve the technical level among professionals and consequently contribute to the fight against cyber-crime. This approach, in fact, allows other colleagues to extend, for example, the functionality of an exploit or to improve (refine) an attack technique.

ACKNOWLEDGMENTS:  WSO2, MICROSOFT

La nostra intervista a Gianluca Palma, Cyber ​​Security Specialist, Cybertech, Engineering Group

Nel complesso contesto Cyber, che valore ha la scoperta di una nuova vulnerabilità? Quali sono i potenziali benefici per tutta la cyber community e per gli utenti finali? 

Il nostro obbiettivo è proteggere i dati dei clienti limitando tutte le potenziali porte d’ingresso dei malintenzionatigli errori di un software sono una di queste. L’hacker che conosce una vulnerabilità ancora non nota di un prodotto diffuso, ha un vantaggio enormeun potente strumento dattacco contro tutti gli utenti finaliuna cyber-arma che rimane potente e valida fino al momento della scoperta. 

I benefici per la community sono infiniti soprattutto quando scopriamo vulnerabilità dei prodotti open source. In quel caso, gli sviluppatori di tutto il mondo possono fare tesoro delle correzioni di sicurezza suggerite e cercare a loro volta di impedire questa tipologia di attacchi anche su altri prodotti. 

Potresti spiegarci di che tipo di vulnerabilità si tratta e come è stata scoperta?  

Durante uno dei tanti Penetration Test che vengono commissionati al Team Cybertech, è capitato di imbattermi sulla  piattaforma WSO2, di recente è stata nominata da Forrester tra le 15 più importanti aziende leader in soluzioni di “API Management” 

La vulnerabilità in questione permette ad un potenziale utente malintenzionato di reindirizzare, in maniera permanente, il browser a un sito Web dannoso, apportare modifiche all’interfaccia utente WSO2, recuperare informazioni utente dal browser o danneggiare il portale in altro modo (defacement). 

Cosa significa, per un professionista di Cybersecurity, scoprire una nuova vulnerabilità?  

Per un Ethical Hacker andare a caccia di vulnerabilità è “il pane quotidiano”. Però è sempre un’enorme soddisfazione quando viene riconosciuto l’impegno e la professionalità del proprio lavoro. Scoprire una vulnerabilità su un prodotto Open Source, mi gratifica ancor di più poiché significa che il mio TEAM è arrivato al raggiungimento degli obbiettivi prima di “altri” . Diciamo che il nostro mestiere è un “mix” di passione, buone doti tecniche, concentrazione, fantasia e a volte anche un pizzico di fortuna. 

Quanto è importante la collaborazione tra gli Ethical Hacker a livello mondiale per l’evoluzione delle soluzioni di Cybersecurity e la lotta contro il cyber crime?  

La condivisione è una caratteristica intrinseca della cultura hacker. Credo che mettere a disposizione le proprie esperienze, le scoperte e i traguardi raggiunti, non possono far altro che migliorare il livello tecnico tra gli addetti ai lavori e di conseguenza contribuire alla lotta contro il crimine cibernetico. Questo approccio, infatti, permettere ad altri colleghi di estendere ad esempio le funzionalità di un exploit o di migliorare (affinare) una tecnica di attacco. 

RICONOSCIMENTI:  WSO2, MICROSOFT

Leave a comment
More Posts