Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Salt Security met au jour des failles dans la sécurité des API sur la plateforme de revente en ligne détenue par The LEGO® Group

décembre 2022 par Salt Security

Salt Security publie une nouvelle étude sur les menaces réalisée par Salt Labs qui pointe deux vulnérabilités compromettant la sécurité des API découvertes sur BrickLink, plateforme numérique de revente détenue par The LEGO® Group. Réunissant plus d’un million de membres, Bricklink est la première place de marché virtuelle au monde mettant en relation acheteurs et vendeurs de pièces LEGO d’occasion. Ces failles dans la sécurité des API auraient pu déclencher à la fois des attaques de type « usurpation de compte » massives par prise de contrôle des comptes clients et des compromissions côté serveur, permettant alors à des acteurs malveillants :

• de manipuler les comptes de cette plateforme jusqu’à prendre entièrement la main sur les comptes utilisateurs ;
• de faire fuiter des informations personnelles et autres données utilisateurs sensibles stockées en interne via cette plateforme
• d’avoir accès à des données de production internes, susceptibles de compromettre les serveurs internes de l’entreprise.

C’est Salt Labs, pôle Études/Recherches de Salt Security et instance de sensibilisation à la sécurité des API, qui a découvert ces failles de sécurité et réalisé l’analyse des vulnérabilités.

Les chercheurs de Salt Labs ont mis au jour les deux vulnérabilités en question en s’intéressant aux parties du site intégrant des champs de saisie utilisateurs. Dans la boîte de dialogue « Find Username » de la fonctionnalité de recherche associée aux coupons, ils ont découvert une vulnérabilité XSS (Cross-Site Scripting) qui leur a permis d’injecter et d’exécuter du code sur la machine d’une victime via un lien trafiqué. L’équipe est parvenue à enchaîner la vulnérabilité XSS avec un identifiant de session exposé sur une autre page. En conjuguant ces deux vulnérabilités, les chercheurs ont réussi à pirater la session et à prendre le contrôle du compte. Des pirates auraient pu se servir de ces tactiques pour déclencher des attaques d’usrpation de compte intégrales ou dérober des données utilisateurs sensibles.

La seconde vulnérabilité a été identifiée sur la page « Upload to Wanted List » de la plateforme, qui permet aux utilisateurs de charger les listes de pièces et ensembles LEGO recherchés au format XML. En se servant de cette fonctionnalité, les chercheurs de Salt Labs ont pu exécuter une attaque par injection XXE (External Entity) sur le fichier XML, laquelle se produit lorsque l’entrée XML contenant une référence à une entité externe est traitée par un analyseur XML mal configuré. Grâce à cette attaque par injection XXE, les chercheurs ont pu lire les fichiers sur le serveur web et exécuter une attaque SSRF (par falsification de requête côté serveur) qui a pu être exploitée de nombreuses façons, notamment pour dérober des jetons AWS EC2 sur le serveur.

Dès la découverte de ces vulnérabilités, les chercheurs de Salt Labs ont observé des pratiques de divulgation parfaitement coordonnées avec LEGO, et tous les problèmes ont été corrigés rapidement.

« À l’heure actuelle, la quasi-totalité des secteurs d’activité ont intensifié leur utilisation des API pour accéder à de nouvelles fonctionnalités et simplifier la connexion entre les consommateurs et les données et services essentiels », précise Yaniv Balmas, vice-président du pôle Études/Recherches chez Salt Security. « De ce fait, les API sont devenues l’un des premiers vecteurs d’attaque, mais aussi l’un des plus significatifs, pour accéder aux systèmes de l’entreprise et aux données des utilisateurs. Compte tenu de la rapidité de leur montée en puissance, nombre d’entreprises continuent à méconnaître la quantité de risques et de vulnérabilités qui se logent dans leurs plateformes, les laissant, elles et leurs précieuses données, à la merci des pirates. »

D’après le rapport « State of API Security » de Salt Security pour le 3e trimestre 2022, les clients de Salt ont constaté une progression de 117 % du trafic d’attaques ciblant les API sur fond de hausse globale (+168 %) du trafic des API. La plateforme Salt Security de protection des API permet aux entreprises d’identifier les risques et vulnérabilités des API, y compris celles recensées dans la liste « Top 10 » de l’OWASP, avant leur exploitation par des pirates. Cette plateforme protège les API tout au long de leur cycle de vie, aux stades de la compilation, du déploiement et de l’exécution, en s’appuyant sur des mégadonnées à l’échelle du cloud conjuguées à l’IA et au ML pour définir un cadre de référence applicable à des millions d’utilisateurs et d’API. Par ses informations contextuelles tout au long du cycle de vie des API, Salt donne aux utilisateurs les moyens de détecter les activités de reconnaissance des pirates et de les contrer avant que ceux-ci n’atteignent leur objectif. Les exploits exécutés par l’équipe Salt Labs auraient immédiatement déclenché la mise en évidence de l’attaque par la plateforme Salt.


Voir les articles précédents

    

Voir les articles suivants