5 Hébergeurs concernés par plusieurs vulnérabilités
Un chercheur a découvert plusieurs vulnérabilités chez des hébergeurs très populaires. Des millions de client de ces hébergeurs ainsi que les milliards de visiteurs qui accèdent à ces sites étaient vulnérables.
Le chercheur indépendant et bug-hunter, Paulos Yibelo, a trouvé une douzaine de vulnérabilités chez les hébergeurs Bluehost, Dreamhost, HostGator, OVH et iPage. Plus de 7 millions de domaines sont concernés.
Certaines vulnérabilités sont simples à exploiter car elle requiert seulement que les victimes cliquent sur un lien ou visitent un site infecté pour que leur compte soit compromis.
Failles Critiques chez des Hébergeurs Populaires
Yibelo a testé 5 hébergeurs et a trouvé plusieurs failles concernant des account takeover, cross-scripting(XSS) et des divulgations d’information. Il a tout documenté sur le blog Website Planet.
1. Bluehost—l’entreprise qui appartient à Endurance qui possède aussi Hostgator et iPage. Ces trois hébergeurs abritent plus de 2 million de sites dans le monde. Bluehost était vulnérable face aux:
- Fuites d’informations dues à des mauvaise configuration de cross-origin-resource-sharing (CORS)
- Account takeover à cause de mauvaise validation de requête JSON (CSRF-Cross Site Request Forgery)
- Une attaque Man-in-the-middle peut être effectué à cause de validation incorrect de CORS
- Une faille XSS (Cross-site scripting) sur my.bluehost.com
2. Dreamhost—l’hébergeur qui abrite environ un million de domaines n’avait qu’une seule faille:
- Account takeover en utilisant une faille cross-site scripting (XSS)
3. HostGator
- un by-pass de la protection CSRF permet un contrôle complet
- Mauvaise configuration de plusieurs CORS qui cause une fuite d’information et une faille CRLF(Carriage Return Life Feed)
4. OVH Hosting—l’entreprise française abrite 4 millions de domaines dans le monde:
- By-pass de protection CSRF
- API mal configuré
5. iPage Hosting
- Account takeover
- Plusieurs by-pass de Content Security Policy (CSP)
Démonstrations Vidéos
Yibelo a révélé qu’il a eu besoin d’une heure en moyenne sur chacun des 5 hébergeurs pour trouveur au moins une vulnérabilité account takeover côté client. En utilisant seulement Burp Suite et des plugins du navigateur Firefox.
Parmi les hébergeurs concernés, Yibelo a trouvé que Bluehost, HostGator et iPage sont les plus faciles à pirater. Cependant, HostGator inclut plus de couches de sécurité que les deux autres.
Yibelo a reporté ses trouvailles à tout ces hébergeurs. Ils ont tous patché leurs services avant la divulgation de cette information sauf OVH.
Si cet article vous a plu, jetez un œil à notre précédent article.