Un chercheur en sécurité affirme avoir récolté 36 000 $ en primes de bogues après avoir découvert des vulnérabilités critiques de contrebande de requêtes HTTP affectant trois des principales applications Web d’Apple.
Le chasseur de bugs, un hacker de 20 ans qui se fait appeler en ligne ‘Furtif‘, ont déclaré avoir déployé la même technique pour parvenir à empoisonner la file d’attente sur les domaines, ouvrant la voie à la divulgation de données et à la prise de contrôle de compte sans aucune interaction de l’utilisateur requise.
Les bogues auraient affecté les serveurs pour les entreprises.apple.com et ecole.apple.comque les entreprises et les écoles utilisent respectivement pour gérer les appareils, les applications et les comptes, ainsi que mapsconnect.apple.comque les organisations utilisent pour revendiquer et gérer des listes d’entreprises sur l’application Maps d’Apple.
Les failles de contrebande de requêtes HTTP étaient CL.TE – ou ‘Codage de transfert de longueur de contenu‘ – problèmes, où « le serveur frontal lit le Contenu-Longueur en-tête dans une requête, et le serveur principal lit l’en-tête Transfert-Encodage en-tête », a expliqué Stealthy dans un Medium article de blog.
Les vulnérabilités surviennent parce que les serveurs ne sont pas d’accord sur le début et la fin des demandes.
Rediriger les utilisateurs en direct
« Une transformation était nécessaire dans le Transfert-Encodage sur les sites Web d’Apple en utilisant un caractère de nouvelle ligne, puis un espace dans le nom de l’en-tête », a déclaré Stealthy.
Ce changement – Transfert-Encodagen : chunked – « a réussi à glisser l’en-tête au-delà du serveur frontal mais [it] était encore utilisé par le backend ».
Sur la base de cette observation, Stealthy a élaboré la première preuve de concept.
« Mon chemin de contrebande est /statique/docs parce qu’une redirection s’y produit, en utilisant le Héberger valeur d’en-tête dans la redirection », poursuit le chercheur. « Ainsi, je pourrais rediriger les utilisateurs en direct vers mon serveur pour m’assurer que la contrebande de demandes affecte les utilisateurs de production. »
Cela permettrait aux attaquants de rediriger les importations JavaScript et de réaliser des scripts intersites (XSS) stockés sur l’hôte.
Plus percutante encore était la vulnérabilité des serveurs à l’empoisonnement de la file d’attente, une technique d’attaque qui « fait passer clandestinement une requête complète et rompt la file d’attente de réponse, qui commencera à envoyer des réponses aléatoires aux utilisateurs non intentionnels ».
Toutes les données de réponse, y compris Set-Cookie en-têtes, pourraient être divulgués par cette technique, affirme le chercheur.
« L’empoisonnement de la file d’attente est la technique la plus efficace pour prouver l’impact critique de la contrebande de demandes », a déclaré Stealthy. La gorgée quotidienne.
« Je recommande fortement aux chercheurs d’essayer de l’utiliser de manière sûre lorsqu’ils signalent la contrebande de demandes aux programmes. »
Apple a répondu rapidement au rapport de bogue, a corrigé les vulnérabilités et a versé à Stealthy une prime de bogue de 12 000 $ pour chaque domaine, a déclaré le chercheur.
Apple n’a pas répondu à La gorgée quotidiennedemande de commentaire.