Vigil@nce : Apache httpd, détournement malgré TLS Wildcard
mars 2011 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/
SYNTHÈSE DE LA VULNÉRABILITÉ
Lorsqu’un serveur Apache httpd possède un certificat SSL/TLS
Wildcard, un attaquant peut rediriger la victime vers ce serveur,
afin par exemple d’injecter des scripts dans le contexte d’un
autre site.
– Gravité : 1/4
– Date création : 14/03/2011
PRODUITS CONCERNÉS
– Apache httpd
DESCRIPTION DE LA VULNÉRABILITÉ
Un certificat SSL/TLS Wildcard (pour *.example.com) permet
d’héberger plusieurs sites avec la même adresse IP :
https://admin.example.com/ (192.168.1.1)
https://finance.example.com/ (192.168.1.1)
Un autre certificat (pour www.example.com) peut par exemple être
utilisé par un autre site :
https://www.example.com/ (192.168.2.2)
Par défaut, le serveur Apache httpd ne rejette pas les requêtes
https://www.example.com/ destinées à la machine 192.168.1.1, car
il ne vérifie pas l’entête HTTP Host envoyé par le client. En
effet, seuls "admin" et "finance" devraient être autorisés sur
192.168.1.1.
Un attaquant peut donc employer cette fonctionnalité pour mettre
en oeuvre l’attaque suivante :
– L’attaquant se place en Man-in-the-Middle entre la victime et
les serveurs web.
– La victime demande https://www.example.com/.
– L’attaquant altère les réponse DNS, afin d’indiquer à la
victime que l’adresse IP de www.example.com est 192.168.1.1.
– Le navigateur de la victime se connecte sur 192.168.1.1, avec
l’entête Host www.example.com (qui n’est pas vérifié).
– Le serveur 192.168.1.1 retourne les données du site par défaut
(par exemple https://admin.example.com/).
Le contenu de la page https://admin.example.com/ est alors
interprété dans le contexte de https://www.example.com/.
Lorsqu’un serveur Apache httpd possède un certificat SSL/TLS
Wildcard, un attaquant peut donc rediriger la victime vers ce
serveur, afin par exemple d’injecter des scripts dans le contexte
d’un autre site.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/Apache-httpd-detournement-malgre-TLS-Wildcard-10449