Post #384

Обнаруженная критическая уязвимость в VEEAM снова показывает, что возможно все. Забавно, но один наш бывший друг, работая в VEEAM, утверждал, что подобное невозможно в принципе. И приводил три основных пункта: 1. У нас такое качество кода/разработки и ревью, что любые серьезные уязвимости никогда не пройдут. 2. Пентесты/внешние исследователи не нужны, у нас разрабы сами умеют проверять свой код! 3. Ты просто не сталкивался с высокой культурой работы с кодом, поэтому и думаешь, что тут что-то такое могут найти! В самом VEEAM проблем нет, только если проблемы с настройкой серверов, но они на стороне клиента, или нашего облака. И вот оно как обернулось, уязвимость к тому же поражает своей простотой! Злоумышленник отправляет данные для входа, указывая,что проверять их нужно у него же! А сервис VEEAM это принимает за чистую монету и не проверяет, куда его отправили, возвращается к злоумышленнику же с вопросом "этого можно пускать?". Вот так можно выписать себе же доступ к системе. Хочется спросить — ну и где были все эти опытнейшие разработчики с высочайшей культурой работы с кодом? А ситуация, на самом деле, очень простая: все ошибаются. Чем меньше степеней защиты, тем больше шансов, что критическая ошибка уйдет в релиз — это, в общем, правда жизни. А нам вспоминается прикол с одного из мест работы одного из фаундеров 3side, когда очень опытный разраб, отвечая на вопрос о том, почему он заливает изменения сразу в прод, с лицом опытного сапера ответил: "меня учили не ошибаться". Место работы, кстати, считалось "системно значимым" — если вы понимаете, о чем мы. Такие дела.