Description

La vulnérabilité a été découverte dans un site appartenant à une entreprise Française leader de son domaine. Le site vulnérable permettait à un client d'acheter des machines industrielles pour son entreprise. Pour cela, l'utilisateur devait donc obligatoirement avoir un compte sur le site et entrer ses informations personnelles notamment pour les informations de facturation etc.

La vulnérabilité se situait donc au niveau du formulaire permettant d'éditer ses informations. Alors que les informations sensibles pouvant permettre de prendre le contrôle du compte vérifiait correctement le code généré de manière aléatoire afin de garantir l'intégrité de la demande de changement, le deuxième formulaire permettant de changer les informations personnelles tels que le nom, prénom, nom de société, numéro de téléphone, adresse physique ne vérifiait pas la présence du code aléatoire qui était généré.

Exploitation

• J'ai d'abord créé un premier utilisateur. (user1)

• J'ai changé les informations personnelles de ce compte puis intercepté la requête.

• J'ai généré un PoC CSRF via la requête intercepté (via burp suite ou https://security.love/CSRF-PoC-Genorator/)

• Je me suis ensuite connecté avec un deuxième compte. (user 2)

• Puis j'ai utilisé le code PoC qui permet donc de faire une requête de modification des données personnelles à l'insu de l'utilisateur.

• Cela m'a effectivement redirigé vers la page en question sur laquelle les informations on effectivement été remplacés par les informations souhaitées.

Risques

Il est alors possible dans le cas où on parvient à faire se rendre un utilisateur connecté sur une page contenant le code du PoC CSRF de modifier ses informations personnelles par des informations arbitraires.

Cela entraînant:

• Usurpation d'identité: une attaque CSRF réussie pourrait entraîner des modifications non autorisées des informations personnelles d'un utilisateur, qui pourraient ensuite être exploitées à des fins d'usurpation d'identité par l'attaquant.

• Invasion de la vie privée: la modification de données personnelles telles que le numéro de téléphone et l'adresse sans consentement pourrait empiéter sur la vie privée de la victime, l'exposant potentiellement à des communications indésirables ou à des risques physiques.

• Interception des communications: si un attaquant modifie les coordonnées d'un utilisateur, il pourrait intercepter des notifications, des messages ou des mises à jour importants destinés à l'utilisateur légitime, entraînant ainsi des informations manquées ou une confusion.

• Dommage à la réputation: des informations personnelles modifiées, si elles ne sont pas rapidement corrigées, pourraient prêter à confusion et nuire à la réputation de l'utilisateur concerné. Ceci est particulièrement préoccupant si l’utilisateur est associé à un contexte professionnel ou à une communauté en ligne.

• Hameçonnage: les attaquants peuvent exploiter les informations personnelles modifiées pour élaborer des tentatives de phishing convaincantes, ce qui rend les utilisateurs plus susceptibles de tomber dans le piège des escroqueries en raison de la nature personnalisée des messages.

• Inexactitudes dans les profils: les attaques CSRF pourraient entraîner des informations personnelles incorrectes ou incohérentes dans les profils en ligne, créant ainsi de la confusion et compromettant la présence en ligne de l'utilisateur.

• Non conformité aux réglementations en matière de confidentialité: des modifications non autorisées des informations personnelles pourraient entraîner le non-respect des réglementations en matière de confidentialité et des lois sur la protection des données, entraînant potentiellement des conséquences juridiques pour l'organisation concernée.

• Surmenage du support client: les victimes d'attaques CSRF ciblant des informations personnelles peuvent avoir besoin de demander l'aide du support client pour rectifier les changements, ce qui accroît la pression sur les ressources de support de l'organisation.

Récompense