La CISA a mis en garde aujourd’hui contre les risques de violation importants liés aux vulnérabilités de référence directe d’objet (IDOR) non sécurisées affectant les applications Web dans un avis conjoint avec l’Australian Cyber Security Center (ACSC) et la National Security Agency (NSA) des États-Unis.
Les vulnérabilités IDOR sont des failles dans les applications Web (ou les applications qui utilisent les API Web affectées) qui permettent aux attaquants d’accéder et de manipuler des données sensibles en référençant directement des objets ou des ressources internes.
En termes plus simples, l’application Web vulnérable ne valide pas correctement l’accès des utilisateurs à des ressources spécifiques, telles que des fichiers, des bases de données ou des comptes d’utilisateurs.
Les vulnérabilités IDOR sont considérées comme des risques de sécurité importants, car elles peuvent entraîner des accès non autorisés et des violations de données en raison d’une validation des entrées et de contrôles d’autorisation inappropriés qui permettent aux acteurs de la menace d’accéder à des ressources qu’ils ne sont pas autorisés à utiliser.
Selon la NSA, les vulnérabilités IDOR peuvent potentiellement avoir un impact sur n’importe quelle application Web, notamment :
- Logiciel sur site déployé et installé localement dans une organisation.
- Logiciel en tant que service (SaaS) utilisé pour les applications basées sur le cloud.
- Infrastructure en tant que service (IaaS) utilisée pour les ressources informatiques basées sur le cloud.
- Modèles de cloud privé propriétaires de l’infrastructure de l’organisation.
L’ACSC, la CISA et la NSA ont mis en garde les fournisseurs, les concepteurs, les développeurs et les organisations qui utilisent des applications Web pour protéger leurs systèmes contre les vulnérabilités IDOR.
« Ces vulnérabilités sont fréquemment exploitées par des acteurs malveillants dans des incidents de violation de données et ont entraîné la compromission des informations personnelles, financières et de santé de millions d’utilisateurs et de consommateurs », ont déclaré les trois agences.
L’avis d’aujourd’hui fournit une gamme de meilleures pratiques, de recommandations et d’atténuations pour les fournisseurs, les développeurs et les organisations d’utilisateurs finaux visant à réduire l’occurrence des vulnérabilités IDOR.
Les conseils contribuent également à améliorer la posture de sécurité des applications Web, en veillant à ce qu’elles soient conçues pour être sécurisées par défaut.
Il est conseillé aux développeurs d’applications Web de mettre en œuvre des principes de sécurité dès la conception et par défaut, de suivre des pratiques de codage sécurisées (par exemple, cartes de référence indirectes, normalisation et vérification des paramètres d’entrée et CAPTCHA), d’effectuer des révisions et des tests de code à l’aide d’outils d’analyse et de test de code automatisés, et de former personnel pour le développement de logiciels sécurisés.
Les organisations d’utilisateurs finaux doivent choisir des applications Web qui montrent leur engagement envers les principes de sécurité dès la conception et par défaut, appliquer les correctifs logiciels pour les applications Web dès que possible, configurer les applications pour enregistrer et alerter sur les tentatives de falsification, et effectuer régulièrement des tests de pénétration et de vulnérabilité. analyse pour s’assurer que leurs applications Web sont sécurisées.
Les trois agences ont mis en évidence plusieurs incidents où l’exploitation des failles de sécurité IDOR a conduit à des violations massives de données.
En octobre 2021, une fuite de données majeure impliquant des applications « stalkerware » qui transféraient des données récoltées vers des serveurs affectés par une vulnérabilité IDOR (CVE-2022-0732) a exposé des messages texte, des enregistrements d’appels, des photos et des informations de géolocalisation de centaines de milliers de mobiles. dispositifs.
Une autre violation de données de 2019 a touché une organisation du secteur des services financiers aux États-Unis, exposant plus de 800 millions de fichiers financiers personnels, y compris des détails sensibles tels que des relevés bancaires, des numéros de compte bancaire et des documents de paiement hypothécaire.
Un incident distinct s’est produit en 2012, au cours duquel des attaquants ont volé les données personnelles de plus de 100 000 propriétaires d’appareils mobiles sur un site Web accessible au public d’une organisation du secteur des communications des États-Unis après avoir exploité une vulnérabilité IDOR.