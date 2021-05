SSRF : 1ère vulnérabilité des services en ligne

mai 2021 par HackerOne

Après avoir établi le classement des 10 vulnérabilités informatiques les plus couramment détectées par les hackers de son écosystème dans son Hacker Report 2021, HackerOne développe désormais une série d’analyses des vulnérabilités informatiques les plus fréquentes, à commencer par les vulnérabilités SSRF - Server-Side Request Forgery, qui touchent principalement les applications web.

A partir d’une application web vulnérable, les SSRF permettent d’interagir avec un serveur, afin d’en extraire des fichiers et de trouver d’autres services actifs. Un cybercriminel peut ainsi scanner le réseau interne afin d’en identifier les IP et Ports ouverts et de cartographier les ressources existantes.

Cette vulnérabilité permet à un attaquant de faire en sorte que le serveur se reconnecte à lui-même ou pointe vers d’autres services Web de l’infrastructure de l’organisation ou à des systèmes tiers externes. Ce faisant, il devient par exemple possible d’exfiltrer de l’information, de rediriger l’utilisateur vers un système corrompu embarquant des malwares…

Actuellement à la 8ème place du Top 10 des vulnérabilités les plus courantes, les vulnérabilités SSRF représentent une menace forte, comme en témoignent les chiffres suivants :

• En avril 2021, 196 vulnérabilités SSRF ont été découvertes à la faveur de programmes de détection menés par les clients de HackerOne, soit 28 % de plus qu’en mars (141).

• En avril 2020, un pic inhabituel avait été observé dans la détection de SSRF. Les organisations avaient alors versé 460 461 dollars de primes pour des vulnérabilités SSRF, contre 93 647 dollars cette année. Ce pic de 2020 s’explique potentiellement par la transition vers le travail à distance et la migration rapide vers le cloud à cette époque.

• La faille SSRF est la première vulnérabilité en termes de primes payées pour le web et les services en ligne

• La faille SSRF est la deuxième vulnérabilité en termes de primes payées pour les secteurs suivants :

o Éducation

o Gouvernements (au niveau mondial)

Quels sont les risques d’une vulnérabilité SSRF ?

Grâce à un rapport de vulnérabilité soumis par le hacker @nahamsec à Lyft les chercheurs HackerOne ont pu démontrer les implications et les risques des vulnérabilités SSRF. On sait que Lyft a remédié à cette vulnérabilité avant qu’elle ne soit exploitée, alors qu’elle aurait pu permettre aux cybercriminels d’accéder aux clés d’instance de métadonnées AWS et de lire tous les fichiers hébergés sur le réseau de l’entreprise.

Ce qui s’apparentait au départ à un simple bug permettant aux attaquants d’insérer du HTML dans le générateur de PDF et de rationaliser ses notes de frais s’est avéré être une vulnérabilité bien plus coriace. C’est grâce à l’intelligence humaine que les chercheurs HackerOne ont pu combiner via des tests un fichier PDF avec un XSS, permettant ainsi de détecter une vulnérabilité SSRF cachée, ce que les outils automatisés n’étaient pas en mesure de détecter.

Bien que les SSRF ne soient pas considérées comme des vulnérabilités critiques, elles peuvent avoir des conséquences néfastes et révéler d’autres faiblesses à l’échelle d’une entreprise, d’où la nécessité de collecter continuellement des données sur les vulnérabilités et les erreurs signalées. C’est en effet l’une des bonnes pratiques recommandée par HackerOne afin de tirer des conclusions des erreurs et de permettre aux équipes d’agir rapidement et en toute sécurité.