Les chercheurs ont révélé une vulnérabilité d’inclusion de fichiers locaux (LFI) précédemment non documentée dans Hashnode, une plate-forme de blogs destinée aux développeurs, qui pourrait être utilisée de manière abusive pour accéder à des données sensibles telles que les clés SSH, l’adresse IP du serveur et d’autres informations sur le réseau.
« Le LFI trouve son origine dans une fonctionnalité d’importation en masse qui peut être manipulée pour fournir aux attaquants la possibilité de télécharger sans entrave des fichiers locaux à partir du serveur de Hashnode », ont déclaré les chercheurs d’Akamai dans un rapport partagé avec breachtrace.
Les failles d’inclusion de fichiers locaux se produisent lorsqu’une application Web est amenée à exposer ou à exécuter des fichiers non approuvés sur un serveur, ce qui entraîne la traversée de répertoires, la divulgation d’informations, l’exécution de code à distance et des attaques de script intersite (XSS).
La faille, causée par le fait que l’application Web n’a pas correctement nettoyé le chemin d’accès à un fichier transmis en entrée, pourrait avoir de graves répercussions dans la mesure où un agresseur pourrait naviguer vers n’importe quel chemin sur le serveur et accéder à des informations sensibles, y compris le /etc/passwd fichier qui contient une liste d’utilisateurs sur le serveur.
Armés de cet exploit, les chercheurs ont déclaré avoir été en mesure d’identifier l’adresse IP et la clé privée sécurisée shell (SSH) associées au serveur.
Bien que la vulnérabilité ait été corrigée depuis, les conclusions surviennent alors qu’Akamai a déclaré avoir enregistré plus de cinq milliards d’attaques LFI entre le 1er septembre 2021 et le 28 février 2022, marquant une augmentation de 141 % par rapport aux six mois précédents.
« Les attaques LFI sont un vecteur d’attaque qui pourrait causer des dommages importants à une organisation, car un acteur de la menace pourrait obtenir des informations sur le réseau pour une reconnaissance future »,