La confusion des dépendances en tête de la liste annuelle de piratage Web de PortSwigger pour 2021

La liste annuelle des 10 meilleures techniques de piratage Web de PortSwigger Web Security a été annoncée, les attaques de confusion de dépendances étant la technique numéro un observée en 2021.

La liste a été votée de 40 nominations aux 10 finales par un panel de l’industrie qui comprenait des chercheurs renommés Nicolas Grégoire, Soroush Daliliet Descripteur de fichier.

La première place du top 10 2021 est venue de l’attaque de confusion de dépendance du chercheur Alex Birsan, qui a utilisé la technique pour accéder à Apple, Microsoft et d’autres sociétés de premier plan.

Il a révélé les détails de la nouvelle attaque de la chaîne d’approvisionnement après avoir suivi un processus de divulgation avec les fournisseurs concernés.

L’attaque

La confusion des dépendances se produit lorsqu’un attaquant est capable d’exécuter des logiciels malveillants sur le réseau d’une entreprise en remplaçant des packages logiciels utilisés à titre privé – appelés «dépendances» – par des packages publics malveillants du même nom.

Birsan a utilisé cette technique pour télécharger du code malveillant dans des packages publics RubyGems et Python, en le portant dans les dépendances.

LIRE LA SUITE Un chercheur pirate Apple, Microsoft et d’autres grandes entreprises technologiques dans le cadre d’une nouvelle attaque de la chaîne d’approvisionnement

Il a pu violer les systèmes internes des organisations mentionnées ci-dessus, ainsi que Shopify, Netflix, Yelp, Tesla et Uber, gagnant ainsi 130 000 $ en prime de bogue.

De plus, des failles de confusion de dépendance ont été détectées dans plus de 35 organisations. Birsan a ajouté que « la grande majorité des entreprises concernées entrent dans la catégorie des plus de 1000 employés, ce qui reflète très probablement la prévalence plus élevée de l’utilisation de la bibliothèque interne au sein des grandes organisations ».

En savoir plus sur la technique d’attaque la mieux notée de 2021 ici.

La deuxième place

La recherche de James Kettle de PortSwigger, « HTTP/2 : la suite est toujours pire », a été soumise et votée de manière indépendante par le panel du Top 10.

Kettle, qui a précédemment démontré un nouvel aperçu des attaques de contrebande de requêtes HTTP, a constaté que malgré la mise à niveau vers HTTP/2, de nombreux sites étaient toujours vulnérables aux attaques de contrebande en raison du fait qu’ils réécrivaient les requêtes afin de parler au serveur principal.

Le chercheur appelle cela «déclassement HTTP2» et a pu utiliser l’attaque pour récupérer une prime de bogue de 20 000 $ de Netflix, entre autres.

« Netflix utilisait la bibliothèque Netty Java pour sa prise en charge HTTP/2 et cette bibliothèque a oublié de vérifier que la longueur du contenu était correcte », avait précédemment déclaré Kettle. La gorgée quotidienne.

En exploitant cette faille, un attaquant pourrait rediriger les utilisateurs vers leur propre site Web, obtenir une exécution persistante de JavaScript sur le site Web principal de Netflix ou détourner en masse les comptes d’utilisateurs.

En savoir plus sur l’attaque ici.

En troisième place était Une nouvelle surface d’attaque sur MS Exchange par Orange Tsai, sa cinquième fois dans le top 10.

Quatrième était Pollution du prototype côté client à l’état sauvage, tandis que la cinquième place est allée à Hidden OAuth Attack Vectors.

En sixième était Empoisonnement du cache à grande échelleseptième Vulnérabilités d’interopérabilité JSONet en huitième position était Contrebande d’en-têtes HTTP pratique.

Enfin, la neuvième place revient à Contrebande HTTP via des versions HTTP supérieures et 10e Fuzzing pour XSS via des analyseurs imbriqués.

Vous pouvez en savoir plus sur chacune des attaques ici.

Parler à La gorgée quotidienneJames Kettle a déclaré que le top 10 de cette année était « plus espacé que d’habitude ».

Le chercheur a ajouté : « Nous soupçonnions que la confusion des dépendances ferait bien lors du vote de la communauté, car elle a été nominée cinq fois de manière indépendante. Nous avons également vu moins de tentatives de bourrage d’urnes lors du vote communautaire que d’habitude.

« Comme mentionné dans le message, le thème clé était la contrebande de demandes. Le volume de recherches sur ce sujet a rendu le classement un peu délicat, car certaines nouvelles techniques ont été découvertes indépendamment plusieurs fois.