Posté le mars 4, 2023 à 9:05
DES CHERCHEURS EN CYBERSÉCURITÉ DÉTECTENT DANS BACKSTAGE DES VULNÉRABILITÉS CRUCIALES QUE DES HACKERS POURRAIENT EXPLOITER
Le portail de développement interne Open Source, Backstage, présente une vulnérabilité critique que des acteurs de la menace pourraient exploiter. Backstage est un outil d’ingénierie de plateforme adopté par de grandes institutions telles qu’American Airlines, Fidelity Investments, Netflix et VMware.
Des chercheurs détectent une vulnérabilité dans Backstage
En novembre de l’année dernière, la société de cybersécurité Okeye a détecté une vulnérabilité Javascript critique dans Backstage. Un rapport similaire a été publié cette année à la mi-février, indiquant qu’une vulnérabilité de type cross-site scripting (XSS) avait été détectée dans le catalogue de logiciels de Backstage.
Cette vulnérabilité pourrait permettre à un acteur de la menace d’installer un code malveillant dans l’application. La vulnérabilité a été attribuée à l’absence de validation suffisante des données fournies par l’utilisateur dans la fonctionnalité de recherche de ce catalogue.
Cette vulnérabilité n’est pas aussi critique que celle détectée en novembre, avec un score CVS de 10 sur 10. Toutefois, elle présente un niveau de gravité modéré et un score CVS de 6,8. Ces mesures de vulnérabilité montrent qu’il n’y a pas besoin de beaucoup de ressources ou d’expertise pour lancer cette attaque.
Le vecteur d’attaque utilisé dans cet exploit est le réseau, où l’attaquant est à distance et n’a pas besoin d’avoir un accès physique au système. L’attaquant n’a pas non plus besoin de privilèges d’accès prioritaires pour mener une attaque en exploitant cette vulnérabilité.
Cette faille de sécurité peut être exploitée par un acteur de la menace pour installer le code JavaScript dans la requête de recherche, qui serait exécuté après l’affichage des résultats de la recherche. L’attaquant déploie alors des scripts malveillants sur la page, qui s’exécutent ensuite dans le navigateur des personnes qui visitent la page concernée.
La vulnérabilité XSS est également utilisée pour voler des cookies et contrôler les sessions des utilisateurs. Cependant, elle peut aussi être déployée pour exposer des données sensibles, accéder à des services et fonctions privilégiés et propager des logiciels malveillants.
Pour remédier à la vulnérabilité, les utilisateurs de Backstage qui utilisent une version affectée du paquet doivent se mettre à jour vers les versions corrigées. Les mesures de base CVSS montrent que l’étendue de la vulnérabilité dans les trois paquets affectés s’est transformée de manière significative. Cela montre que la faille a pu affecter la confidentialité du système et permettre à l’attaquant d’accéder à des informations sensibles.
L’un des composants susceptibles d’avoir été affectés par la violation est le modèle de catalogue de coulisses. Il comprend plusieurs validateurs qui peuvent garantir que les données sont conformes aux interfaces définies.
Les développeurs peuvent en outre utiliser des interfaces et des validateurs dans le package catalogue-modèle pour s’assurer que les composants logiciels sont bien représentés dans le catalogue de logiciels Backstage. L’utilisation de Backstage permet d’améliorer l’organisation, la découverte et la réutilisation des fonctionnalités logicielles.
L’autre composant essentiel est le plugin Backstage Catalog Backend qui offre une fonctionnalité de backend pour le catalogue du logiciel. Ce module comprend la mise en œuvre d’une base de données intégrée pour le catalogue afin de stocker et de servir les données du catalogue.
12 paquets dépendent actuellement du module plugin-catalog-backend. Ces paquets incluent le module d’extension AWS qui permet aux utilisateurs d’ajouter facilement des comptes AWS à leur Backstage, ce qui facilite l’affichage et la gestion de ces comptes et d’autres ressources dans le catalogue. Le module d’extension GitLab et le module d’extension OpenAPI risquent par ailleurs d’être exploités par des hackers.
Comment se protéger contre les vulnérabilités XSS ?
Il est crucial pour les individus et les organisations de se protéger contre les attaques XSS afin de garantir la sécurité des applications web. L’une des meilleures pratiques à respecter est la validation des entrées. Il s’agit de valider toutes les entrées de l’utilisateur et de filtrer les données avant qu’elles ne soient affichées à l’utilisateur.
Il est également important de coder les caractères spéciaux et les espaces en équivalents HTML ou URL pour garantir la sécurité du système. La mise en place d’une politique de sécurité du contenu limitera les différents types de contenu pouvant être chargés dans une page, ce qui empêchera les hackers d’exécuter des scripts malveillants ou d’injecter du code malveillant dans une page.
Une autre bonne pratique consiste à désactiver les scripts côté client, ce qui permet de s’assurer que les scripts malveillants ne sont pas exécutés dans les navigateurs. De même, la redirection des requêtes non valides vers des pages sûres et l’affichage d’un message d’erreur sont des bonnes pratiques.
Grâce à la gestion des sessions, il est possible de détecter les connexions multiples, telles que celles effectuées à partir de deux adresses IP différentes, et d’interrompre ces sessions. Une gestion de session adéquate peut aider à éviter les attaques de détournement de session. L’examen de la documentation de la bibliothèque utilisée dans une application peut aussi aider un utilisateur à comprendre les éléments qui prennent en charge le HTML incorporé.
Grâce à ces bonnes pratiques, il est possible pour un développeur de prévenir les vulnérabilités XSS et de garantir la sécurité des applications web.