Vulnérabilité de type "Cross-Site-Scripting" sous Compaq Insight Manager

Une vulnérabilité de type "Cross-Site Scripting" a été découverte dans le serveur web (HTTP) de l'outil d'administration Compaq Insight Manager. Bien que HP (qui a racheté Compaq) ne semble vouloir confirmer cette vulnérabilité, plusieurs personnes dans les forums l'ont testé avec succès.

Cet article a pour but de présenter la vulnérabilité et ses conséquences ainsi qu'un rappel sur l'utilisation des interfaces web fournies avec la plupart des produits système/réseaux. Tous ces éléments nous ont amené à publier le présent article plutôt que d'en faire un avis.

L'utilitaire "Compaq Insight Manager" permet d'administrer à distance des équipements Compaq. Pour faciliter cette administration, cet outil propose un serveur web (HTTP sur le port 2301) permettant d'effectuer toutes sortes de tâches administratives à travers un navigateur classique.

Début 2000, un nouveau type de vulnérabilité a fait son apparition dans le monde des serveurs web : le "Cross-Site Scripting". Cette vulnérabilité a déjà fait l'objet d'une information intéressante du Cert-IST (CERT-IST/IF-2000.001) et d'un article dans le Bulletin Sécurité n°47 (août 2001). Bien que cette vulnérabilité soit connue et corrigée au niveau des principaux serveurs web, elle reste néanmoins relativement présente dans les applications utilisant un "serveur web" comme outil d'administration.

Cette technique qui repose principalement sur l'injection de scripts dans des URL pointant sur des serveurs vulnérables permet d'exécuter sur le poste de la victime ces scripts dans un contexte de sécurité particulier (celui affecté au site vulnérable plutôt qu'au site attaquant).

Sur le site web malicieux "malsain.org", une URL spécifique contenant des scripts (http://www.vulnerable .com/exemple<script>alert('Test')</script>) a été construite afin de pointer sur un site web vulnérable (www.vulnerable.com) au Cross-Site Scripting.

Lorsque la victime clique sur cette URL le traitement de cette dernière par le serveur vulnérable peut entraîner l'interprétation des scripts et ceci dans le contexte de sécurité alloué au serveur victime.

Ainsi cette vulnérabilité permet généralement de :

• lire les cookies créés par un site sur le poste l'utilisateur (éventuellement ces cookies peuvent contenir le compte et le mot de passe de l'utilisateur pour le site commercial),
• accéder à des sites en se faisant passer pour l'utilisateur victime (pour effectuer des actions en son nom, ou pour bénéficier du droit d'accès de l'utilisateur alors que lui-même n'avait pas d'autorisation d'accès direct),
• contourner les mécanismes de sécurité du navigateur, dans le cas particulier où le site de rebond bénéficie de privilèges plus élevés qu'un site Internet ordinaire (cf. la notion de zone de sécurité de Internet Explorer, pour laquelle les actions autorisées à un site de confiance - par exemple un site Intranet - sont bien plus larges que celles autorisées aux autres).

Le serveur web d'administration de Compaq Insight Manager (IM) semble être sensible à ce comportement. Ainsi, un site web malicieux en faisant pointer un URL spécifique vers une machine hébergeant une version vulnérable de Compaq IM entraînerait l'exécution des instructions codées dans l'URL sur le poste de la victime.

Cependant le Cert-IST estime que, dans un contexte opérationnel où les recommandations élémentaires de sécurité ont été appliquées, aucun serveur web d'administration de machines Compaq (port 2301) ne doit être accessible depuis l'extérieur (réduisant ainsi l'utilisation des serveurs internes comme rebond) et ces derniers doivent être sécurisés pour des accès internes (réseaux indépendants, filtres, ….).

HP de son côté ne semble pas encore décidé à reconnaître le problème bien que plusieurs personnes aient pu le tester.

Bien qu'aujourd'hui des applications systèmes/réseaux proposent des facilités d'administration au travers d'interface web, ces fonctionnalités deviennent inhérentes aux problèmes génériques rencontrés sur les serveurs web classiques et deviennent alors le talon d'Achille de ces applications. Ainsi leur utilisation doit être faite avec parcimonie dans un cadre sûr (réseau d'administration) afin d'éviter toute utilisation détournée.