Vulnérabilité de falsification de requête côté serveur

Soutien
1

Nous avons reçu un e-mail d’un chercheur en sécurité attirant notre attention sur le problème mentionné ci-dessous. Je ne suis pas un expert en sécurité, je ne peux donc pas vous dire si cela est juste ou non. J’ai transmis ce message au support de Discourse en février 2021 et n’ai pas reçu de réponse. J’aimerais savoir :

  • si ce problème est toujours d’actualité
  • s’il y a quelque chose que je puisse faire à ce sujet (paramètres, etc.)

Merci,

Gary W.
support remote.it

#========================================================
Résumé :
Une vulnérabilité de falsification de requête côté serveur (SSRF) semble divulguer un certain nombre d'adresses IP internes et tente de se connecter à un hôte contrôlé par un attaquant.

Ici, vous pouvez constater qu'il y a une mauvaise configuration de la validation des entrées, c'est pourquoi mon adresse e-mail, au lieu de l'adresse e-mail d'origine, n'est pas validée et que la requête a été reçue sur mon collaborateur Burp Suite.

Étapes pour reproduire le problème :
1 : Rendez-vous d'abord sur votre site web https://forum.remote.it/top/yearly
2 : Inscrivez-vous avec succès ici
3 : Allez créer un nouveau sujet
4 : Collez ici le lien de votre serveur

POC (Preuve de concept) :
Trouvez une pièce jointe vidéo. Vous pouvez également suivre mes étapes pour reproduire le problème. (désolé, les nouveaux utilisateurs ne peuvent pas télécharger de pièces jointes). Cela était joint à l'e-mail que j'ai envoyé au support.

Impact :
Cela permettra aux attaquants d'accéder à une adresse IP interne du serveur, ce qui affiche la réponse HTTP de ce serveur, c'est-à-dire que le serveur Collaborator a reçu une requête HTTP. Le serveur Collaborator a reçu une résolution DNS de type A pour le nom de domaine
[zsvge3euks4arcd9nmrwa0dvamgc41.burpcollaborator.net](http://zsvge3euks4arcd9nmrwa0dvamgc41.burpcollaborator.net). La requête de résolution a été reçue de l'adresse IP 66.220.12.132 le 10 décembre 2020 à 11:03:44 UTC.
Cela appartient à l'adresse IP de l'entreprise, vous pouvez le vérifier via l'enregistrement whois.
La falsification de requête côté serveur (SSRF) peut représenter une grande menace pour les applications web modernes, car elle peut compromettre la confidentialité des données.

Atténuation :
La SSRF peut être atténuée grâce à une validation appropriée des URL ou d'autres entrées utilisateur. Un développeur pourrait créer une liste noire et restreindre toute entrée utilisateur correspondant à cette liste noire, tout en effectuant des vérifications de limites.
2

Il semble que ce dont ils parlent soit notre fonctionnalité de oneboxing.

Ce n’est pas une vulnérabilité ; c’est un comportement prévu. Lorsqu’une URL est publiée sur un forum Discourse, une requête sortante est effectuée pour tenter de récupérer des métadonnées afin de construire un onebox.

Ce type de signalement semble faire partie d’un balayage peu élaboré de sites web à la recherche de « vulnérabilités » génériques, car les auteurs ne connaissent pas le fonctionnement du logiciel qu’ils testent.

Si ils ont effectivement trouvé quelque chose, nous les encourageons à soumettre leurs découvertes via notre programme de bug bounty HackerOne.

Si vous avez d’autres préoccupations, nous serons heureux d’y répondre.

Je n’ai aucun enregistrement de messages provenant de cette adresse e-mail, mais nous enquêterons pour comprendre pourquoi nous ne l’avons pas reçu.

3

Merci pour votre réponse. J’ai transmis un lien vers ce fil de discussion à la personne qui nous a signalé le problème (ou la fonctionnalité, selon le cas).

Cordialement,

DL