Recherche Claroty/Snyk : Comment les attaquants exploitent les erreurs d'analyse d'URL

Par:
fredericmazue

mer, 12/01/2022 - 11:15

Les équipes de recherches Team82 de Claroty (spécialiste de la cybersécurité industrielle) et de Snyk (start-up spécialisée dans la détection et la correction des vulnérabilités dans le code applicatif, au service des développeurs et entreprises) ont mené un travail de recherches sur les erreurs d’analyse URL de plusieurs outils et bibliothèques et la manière dont les cyberattaquants exploitent ces erreurs d’analyse d’URL.  

Team82 de Claroty et Snyk Claroty82 ont examiné 16 bibliothèques d’analyse d’URL : urllib (Python), urllib3 (Python), rfc3986 (Python), httptools (Python), curl lib (cURL), Wget, Chrome (navigateur), Uri (. NET), URL (Java), URI (Java), parse_url (PHP), url (NodeJS), url-parse (NodeJS), net/url (Go), uri (Ruby) et URI (Perl).

Le papier rédigé par Claroty et Snyk, accessible ici décrit cinq classes d'incohérences entre les bibliothèques d'analyse syntaxique qui peuvent être exploitées par des acteurs malveillants pour provoquer des dénis de service (DoS/DDoS), des fuites d'informations et dans certaines circonstances de l'exécution de code à distance.

La collaboration de recherche Team82-Snyk a également mis en évidence huit vulnérabilités dans des applications web et des bibliothèques tierces (dont beaucoup sont écrites dans des langages de programmation différents) utilisées par les développeurs web dans les applications. Parmi ces huit vulnérabilités figure un bogue dans libcurl. Le problème a été révélé au créateur de cURL, Daniel Stenberg, qui l'a corrigé dans la dernière version de cURL.