hébergeurs

5 Hébergeurs concernés par plusieurs vulnérabilités

Un chercheur a découvert plusieurs vulnérabilités chez des hébergeurs très populaires. Des millions de client de ces hébergeurs ainsi que les milliards de visiteurs qui accèdent à ces sites étaient vulnérables.

Le chercheur indépendant et bug-hunter, Paulos Yibelo, a trouvé une douzaine de vulnérabilités chez les hébergeurs Bluehost, Dreamhost, HostGator, OVH et iPage. Plus de 7 millions de domaines sont concernés.

Certaines vulnérabilités sont simples à exploiter car elle requiert seulement que les victimes cliquent sur un lien ou visitent un site infecté pour que leur compte soit compromis.

Failles Critiques chez des Hébergeurs Populaires

Yibelo a testé 5 hébergeurs et a trouvé plusieurs failles concernant des account takeover, cross-scripting(XSS) et des divulgations d’information. Il a tout documenté sur le blog Website Planet.

1. Bluehost—l’entreprise qui appartient à Endurance qui possède aussi Hostgator et iPage. Ces trois hébergeurs abritent plus de 2 million de sites dans le monde. Bluehost était vulnérable face aux:

  • Fuites d’informations dues à des mauvaise configuration de cross-origin-resource-sharing (CORS)
  • Account takeover à cause de mauvaise validation de requête JSON (CSRF-Cross Site Request Forgery)
  • Une attaque Man-in-the-middle peut être effectué à cause de validation incorrect de CORS
  • Une faille XSS (Cross-site scripting) sur my.bluehost.com

2. Dreamhost—l’hébergeur qui abrite environ un million de domaines n’avait qu’une seule faille:

  • Account takeover en utilisant une faille cross-site scripting (XSS)

3. HostGator

  • un by-pass de la protection CSRF permet un contrôle complet
  • Mauvaise configuration de plusieurs CORS qui cause une fuite d’information et une faille CRLF(Carriage Return Life Feed)

4. OVH Hosting—l’entreprise française abrite 4 millions de domaines dans le monde:

  • By-pass de protection CSRF
  • API mal configuré

5. iPage Hosting

  • Account takeover
  • Plusieurs by-pass de Content Security Policy (CSP)

Démonstrations Vidéos

Yibelo a révélé qu’il a eu besoin d’une heure en moyenne sur chacun des 5 hébergeurs pour trouveur au moins une vulnérabilité account takeover côté client. En utilisant seulement Burp Suite et des plugins du navigateur Firefox.

Parmi les hébergeurs concernés, Yibelo a trouvé que Bluehost, HostGator et iPage sont les plus faciles à pirater. Cependant, HostGator inclut plus de couches de sécurité que les deux autres.

Yibelo a reporté ses trouvailles à tout ces hébergeurs. Ils ont tous patché leurs services avant la divulgation de cette information sauf OVH.

Laisser un commentaire