Les scientifiques d’Oxeye en sécurité ont en fait révélé de nombreuses nouvelles variantes à haute gravité des vulnérabilités IDOR (Insecure Director Item Reference) (CVE-2022-31671, CVE-2022-31666, CVE-2022-31670, CVE- 2022-31669, CVE-2022-31667) dans le projet Harbor, diplômé de la CNCF, le registre d’artefacts PC open source populaire de VMware.
Harbor est un cloud open source natif projet de registre de PC qui stocke, signale et analyse le contenu. Il peut s’intégrer à différents registres de PC Docker pour fournir des fonctions de sécurité telles que la gestion des utilisateurs, l’accès au contrôle et l’audit des activités.
Classé comme une vulnérabilité d’accès au contrôle, IDOR se produit lorsqu’une application utilise l’utilisateur -entrée fournie pour accéder directement aux choses. L’IDOR est un risque de gravité élevée et est considéré comme le plus grand danger pour la sécurité des applications Web sur la liste des 10 top OWASP la plus existante.
Les systèmes de contrôle d’accès sont conçus pour mettre en œuvre des politiques qui empêchent les utilisateurs d’agir en dehors des limites souhaitées. approbations. Les défaillances du contrôle d’accès entraînent normalement la divulgation de détails non approuvés, la modification, la suppression d’informations ou l’efficacité des fonctions de l’entreprise au-delà des limites d’un utilisateur. Dans cette recherche, IDOR a été trouvé dans VMware’s Harbor, qui permet aux utilisateurs de mieux gérer leurs artefacts d’application. L’accès au contrôle basé sur les rôles (RBAC) dans l’emplacement est généralement une meilleure pratique par rapport aux vulnérabilités IDOR, mais cette recherche a évalué cette théorie avec des résultats inattendus.
La vulnérabilité IDOR dans Harbour conduit à la divulgation des politiques de webhook sans autorisation. Harbor permet aux utilisateurs de configurer des politiques de webhook pour recevoir des notifications sur des événements spécifiques dans le référentiel, par exemple, lorsqu’un tout nouvel artefact est poussé ou lorsqu’un existant est supprimé. Une fois qu’une stratégie de webhook est incluse, un utilisateur de Harbour peut voir des informations sur les stratégies de webhook créées. Dans cet exemple, la vulnérabilité a eu lieu en raison du fait que Harbour a juste essayé de vérifier que l’utilisateur demandeur avait accès à l’ID de projet défini dans la demande. Cependant, il n’a pas réussi à vérifier que l’ID de webhook demandé appartenait à l’ID de projet spécifié.
Une autre version de l’IDOR entraîne la divulgation des journaux d’exécution des tâches. Le préchauffage P2P (peer-to-peer) permet aux utilisateurs de Harbour de s’intégrer à des moteurs P2P tels que Dragonfly ou Kraken pour distribuer des images Docker à grande échelle. En intégrant cette vulnérabilité IDOR à la vulnérabilité « ParseThru », un attaquant peut avoir la capacité de vérifier les couches d’image Docker auxquelles il n’a pas accès aux informations d’identification.
« Alors que les rôles basés sur l’accès au contrôle ( RBAC) est essentiel pour conserver une position de sécurité solide, ce n’est pas la solution ultime pour une défense absolue du système contre les vulnérabilités IDOR », a déclaré Ron Vider, CTO chez Oxeye. « Comme l’ont révélé les scientifiques de la sécurité d’Oxeye Gal Goldshtein et Daniel Abeles, la mise en œuvre de pratiques plus robustes qui incluent la définition de fonctions rigoureuses pour les points de terminaison de l’API, la simulation d’étoiles de danger pour vérifier ces rôles dans le but de briser les modèles d’autorisation et la prévention de la duplication des propriétés pour conserver une source unique de la réalité peut garantir la résilience. »
Toutes les variations IDOR discutées dans cette annonce ont en fait été communiquées aux groupes VMware Security Reaction et Harbor Engineering, qui se sont rapidement associés pour une résolution rapide et efficace. Tous ont en fait été traités (réparés) dans la variante actuelle de Harbor.
Toute l’actualité en temps réel, est sur L’Entrepreneur
