• the tramp

Apple paie 288 000 dollars à des hackers éthiques qui ont trouvé 55 vulnérabilités sur le réseau de

Pendant des mois, le réseau d'entreprise d'Apple a été exposé à des piratages qui auraient pu voler des données sensibles à des millions de clients potentiels et exécuter des codes malveillants sur leurs téléphones et ordinateurs, a déclaré jeudi un chercheur en sécurité. Un groupe de hackers éthiques dirigé par Sam Curry, un chercheur de 20 ans spécialisé dans la sécurité des sites Web, a trouvé au total 55 vulnérabilités.


Curry a estimé que 11 d'entre elles étaient critiques parce qu'elles lui permettaient de prendre le contrôle de l'infrastructure centrale d'Apple et de voler à partir de là des courriels privés, des données iCloud et d'autres informations privées.


« Au cours de notre mission, nous avons découvert diverses vulnérabilités dans des parties essentielles de leur infrastructure qui auraient permis à un attaquant de compromettre totalement les applications des clients et des employés, de lancer un ver capable de prendre automatiquement le contrôle du compte iCloud d'une victime, de récupérer le code source de projets internes d'Apple, de compromettre totalement un logiciel d'entrepôt de contrôle industriel utilisé par Apple et de prendre le contrôle des sessions des employés d'Apple ayant la capacité d'accéder à des outils de gestion et à des ressources sensibles », lit-on dans un rapport publié par Curry sur son site.


L’équipe de Curry a travaillé entre le 6 juillet et le 6 octobre. Les chercheurs ont classé 29 autres vulnérabilités comme de gravité élevée, 13 de gravité moyenne et 2 de gravité faible. Voici, ci-dessous, les 11 bogues classés comme de niveau critiques :


  • Exécution de code à distance via un contournement d'autorisation et d'authentification

  • Le contournement de l'authentification par des autorisations mal configurées permettant un accès global à l'administrateur

  • Injection de commandes via l'argument du nom de fichier non analysé

  • Exécution de codes à distance via un outil d'administration secret et exposé

  • Fuite de mémoire conduisant à un compromis sur les comptes des employés et des utilisateurs et permettant l'accès à diverses applications internes

  • Vertica SQL Injection via un paramètre d'entrée non analysé

  • XSS Stocké sous forme de ver permettant à un agresseur de compromettre totalement le compte iCloud de la victime

  • Le XSS Stocké sous forme de ver permettant à un agresseur de compromettre totalement le compte iCloud de la victime

  • Le SSRF à réponse complète permettant à l'attaquant de lire le code source interne et d'accéder aux ressources protégées

  • Blind XSS permettant à un attaquant d'accéder au portail de support interne pour le suivi des problèmes des clients et des employés

  • L'exécution de PhantomJS côté serveur permettant à un attaquant d'accéder aux ressources internes et de récupérer les clés IAM de l'AWS


A la date du 6 octobre 2020, Apple avait déjà corrigé la grande majorité des vulnérabilités après que le chercheur les ait signalées sur une période de trois mois, souvent dans les heures qui ont suivi son premier avis. Selon le post de Curry publié le 7 octobre, la société s'est engagée à payer 288 500 dollars pour les corriger. Une fois qu'Apple aura traité le reste, a déclaré Curry, le paiement total pourrait dépasser les 500 000 dollars.


« Si les problèmes étaient utilisés par un attaquant, Apple aurait fait face à une divulgation massive d'informations et à une perte d'intégrité », a déclaré Curry lors d'un chat en ligne quelques heures après avoir publié son article intitulé "Nous avons piraté Apple pendant 3 mois : Voici ce que nous avons trouvé". « Par exemple, les attaquants auraient accès aux outils internes utilisés pour gérer les informations des utilisateurs et pourraient en outre modifier les systèmes pour qu'ils fonctionnent comme les pirates le souhaitent », lit-on dans l’article.


Curry a été inspiré par un billet de blog partagé sur Twitter qu’il a vu aux alentours de juillet. Un chercheur s’était vu attribuer 100 000 dollars par Apple pour avoir découvert un contournement de l'authentification qui lui permettait d'accéder arbitrairement à n'importe quel compte client Apple. Il a ensuite fait une recherche sur Google sur le programme de bug bounty d’Apple où il était détaillé qu'Apple était prêt à payer pour des vulnérabilités "ayant un impact significatif sur les utilisateurs". Il a réuni une équipe pour se mettre au travail.


Deux des pires vulnérabilités découvertes


Parmi les risques les plus graves relevés par les hackers éthiques, on peut citer celui d'une vulnérabilité de script intersite stockée (généralement abrégée en XSS) dans l'analyseur JavaScript utilisé par les serveurs à l'adresse www.iCloud.com. Comme iCloud fournit un service à Apple Mail, la faille pouvait être exploitée en envoyant à une personne ayant une adresse iCloud.com ou Mac.com un courriel contenant des caractères malveillants.


La cible n'a qu'à ouvrir le courriel pour être piratée. Une fois cela fait, un script caché dans le courriel malveillant permettrait au pirate d'effectuer toutes les actions que la cible peut entreprendre lorsqu'elle accède à iCloud dans le navigateur. Curry a déclaré que la vulnérabilité "XSS Stocké" était vermifuge, ce qui signifie qu'elle pouvait se propager d'un utilisateur à l'autre lorsqu'ils ne faisaient rien d'autre qu'ouvrir le courriel malveillant. Un tel ver aurait fonctionné en incluant un script qui aurait envoyé un e-mail similaire à chaque adresse iCloud.com ou Mac.com de la liste de contacts des victimes.


Une vulnérabilité distincte, sur le site "Apple Distinguished Educators", résulte de l'attribution d'un mot de passe par défaut - "###INvALID#%!3" (sans les guillemets) - lorsque quelqu'un a soumis une demande incluant un nom d'utilisateur, un prénom et un nom de famille, une adresse électronique et un employeur.


Si quelqu'un avait fait une demande en utilisant ce système et qu'il existait une fonctionnalité permettant de s'authentifier manuellement, vous pouviez simplement vous connecter à son compte en utilisant le mot de passe par défaut et contourner complètement la connexion "Sign In With Apple"", a écrit Curry.


Curry et son équipe ont pu utiliser la force brute pour deviner le nom d'un utilisateur "erb" et, avec cela, se connecter manuellement au compte de l'utilisateur. Les hackers éthiques se sont ensuite connectés à plusieurs autres comptes d'utilisateurs, dont l'un avait des privilèges d'"administrateur central" sur le réseau. Avec le contrôle de l'interface, les pirates auraient pu exécuter des commandes arbitraires sur le serveur Web contrôlant le sous-domaine ade.apple.com et accéder au service LDAP interne qui stocke les informations d'identification des comptes utilisateurs. Avec cela, ils auraient pu accéder à une grande partie du réseau interne restant d'Apple.


Les hackers ont réalisé ces piratages dans le cadre du programme de primes aux bogues d'Apple. Au moment où Curry publiait son post, Apple avait payé un total de 51 500 dollars en échange des rapports privés relatifs à quatre vulnérabilités. Le jeudi, Curry a dit dans un tweet avoir reçu un e-mail d'Apple l'informant que la société payait 237 000 dollars supplémentaires pour 28 autres vulnérabilités.


Un représentant d'Apple a publié une déclaration qui disait :


« Chez Apple, nous protégeons nos réseaux avec vigilance et nous avons des équipes de professionnels de la sécurité de l'information qui travaillent à détecter et à répondre aux menaces. Dès que les chercheurs nous ont avertis des problèmes qu'ils détaillent dans leur rapport, nous avons immédiatement corrigé les vulnérabilités et pris des mesures pour prévenir de futurs problèmes de ce type. Sur la base de nos journaux de bord, les chercheurs ont été les premiers à découvrir les vulnérabilités. Nous sommes donc convaincus qu'aucune donnée utilisateur n'a été utilisée à mauvais escient. Nous apprécions notre collaboration avec les chercheurs en sécurité pour assurer la sécurité de nos utilisateurs. Nous avons crédité l'équipe pour son aide et nous la récompenserons par le programme Apple Security Bounty ».



Sources: Sam Curry, Tweet

 
  • Facebook
  • Twitter
  • Instagram

©2020 par The tramp. Créé avec Wix.com