Meetup, des vulnérabilités permettent de prendre le contrôle

Le populaire service social en ligne, Meetup, a corrigé plusieurs failles critiques dans son site Web. Si elles étaient exploitées, les failles auraient pu permettre aux attaquants de détourner n’importe quel «groupe» Meetup, d’accéder aux détails des membres du groupe et même de rediriger les paiements Meetup vers un compte PayPal appartenant à un attaquant.

Meetup est un service qui compte plus de 35 millions d’utilisateurs. Il est utilisé pour organiser des groupes en ligne avec des événements pour des personnes ayant des intérêts similaires. Ces événements sont soit gratuits, soit les participants peuvent s’inscrire moyennant des frais en utilisant PayPal. Les événements se déroulent généralement en personne mais la pandémie de COVID-19 forcent de nombreux événements a être tenu dans des environnements virtuels.

«Checkmarx a découvert plusieurs problèmes de sécurité d’API «plus courants», tels que le manque de ressources, une limitation de débit et une exposition excessive des données, ainsi que de graves vulnérabilités de script intersite (XSS) et de falsification de demande intersite (CSRF) sur Meetup.com qui pourrait mettre les utilisateurs en danger », ont déclaré des chercheurs de Checkmarx, dans une étude présentée lors de Black Hat USA 2020.

Meetup est au courant

Les chercheurs ont partagé les problèmes avec Meetup, qui a corrigé toutes les vulnérabilités depuis le 15 juillet. Les failles n’ont été divulguées publiquement par les chercheurs que la semaine dernière.

“Meetup prend très au sérieux les rapports sur la sécurité de ses données et apprécie le travail de Checkmarx pour porter ces problèmes à notre attention”, selon un communiqué de la société.

La première faille découverte par les chercheurs a été la présence d’une vulnérabilité de script intersite dans la fonction de discussion de Meetup, qui est activée par défaut dans un groupe Meetup. La faille a une note CVSS de 8,7 sur 10, ce qui en fait une faille de gravité élevée. Le problème est causé par le fait que Meetup n’assainit pas correctement le champ de discussion.

meetup

Pour exploiter la faille, un attaquant doit simplement publier un script personnalisé sur le forum de discussion Meetup. Cela provoque crée une fenêtre contextuelle JavaScript dès qu’un utilisateur visite la page Meetup. Lorsque l’utilisateur clique sur la fenêtre popup, un attaquant peut alors exécuter diverses fonctions malveillantes, comme le vol de ses données de navigation web (sessions et cookies).

“Désormais, au lieu d’avoir une discussion ou un message sur la page, nous aurions pu mettre un message bénin en arrière-plan sur un script”, a déclaré Erez Yalon, directeur de la recherche en sécurité chez Checkmarx. «Donc, c’est déjà très mauvais en soi, car cela signifie que dans le contexte d’un navigateur Web, nous pouvons faire ce que nous voulons. Maintenant, pour chaque personne qui visite ce forum de discussion, il peut donc s’agir de voler des informations faisant partie de votre processus de navigation Web, telles que les cookies et les sessions, etc. Nous pouvons altérer le site Web ou même faire du minage de crypto-monnaie sur le navigateur Web.”

meetup

L’attaque a été rendue plus grave après que les chercheurs aient également trouvé un problème CSRF sur le point de terminaison de l’API de paiements reçus de Meetup. CSRF signifie que lorsqu’un attaquant est authentifié sur le serveur, il contrôle également le client.

Les chercheurs ont pu associer la faille XSS et le bug CSRF: «Lorsque vous parvenez à enchaîner ces deux éléments ensemble, il n’y a pas de limites à ce qui peut réellement arriver», a déclaré Yalon .

Cela signifie que si un utilisateur disposant de privilèges élevés (comme un «co-organisateur» d’un groupe Meetup) clique sur le script malveillant, les attaquants pourraient alors augmenter leurs privilèges, détourner une page de groupe Meetup et gérer complètement le groupe. Étant donné que le formulaire permettant de modifier l’adresse e-mail du destinataire PayPal dans Paramètres/Paiements reçus est vulnérable à une faille CSRF, les attaquants pourraient également modifier l’adresse e-mail PayPal de chaque utilisateur Meetup en la remplaçant par sa propre adresse e-mail PayPal, sans que les victimes ne s’en aperçoivent.

Les chercheurs ont également découvert plusieurs autres problèmes moins graves dans Meetup, notamment le manque de ressources et de limitation de débit sur le site Web et un problème d’exposition excessive aux données.

La recherche a été dévoilée cette semaine lors du Black Hat USA 2020, qui se concentrera en grande partie sur les nouvelles menaces pour la sécurité, la sécurité électorale, le COVID-19, le travail à distance, et d’autres thèmes.

Si cet article vous a plu, jetez un œil à notre article précédent.

S’abonner
Notifier de
guest
0 Commentaires
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x
()
x