Une backdoor découverte sur un serveur de Facebook

Via /r/NetSec :

C’est dans le cadre du bug bounty de Facebook qu’un pentester s’est retrouvé sur un serveur interne de Facebook en exploitant une faille qu’il a trouvée dans un logiciel tiers.

En listant les dossiers du serveur il est tombé sur une backdoor php minimaliste prouvant qu’il n’était pas le premier à pénétrer le serveur.

Le ou les précédents visiteurs avaient aussi placé un pass-logger pour récupérer des comptes d’employés de l’entreprise.

Opera propose un “VPN” dans son navigateur

D’après le blog de la Desktop Team Opera, le browser dispo dans sa version Opera 38 developer intègre un VPN gratuit et sans limitations.

Un petit tour dans la fenêtre des préférences, un petit click et hop notre IP semble désormais être située en Allemagne d’après (par exemple) DuckDuckGo.

Sympa mais pour autant si seules les communications depuis Opera sont passées à travers ce VPN alors c’est difficilement comparable à un vrai service VPN…

Sans compter que si on utilise un site de détection d’IP plus poussé comme ipleak.net ont s’aperçoit que notre véritable adresse IP est détectée via WebRTC.
Du coup il vaut mieux éviter de hacker la NSA avec ce soit-disant VPN mais ça peut être utile pour bypasser rapidement une restriction géographique.

Exploitation d’une faille SSTI dans Flask/Jinja2

Si on connait mieux les attaques sur Ruby On Rails, notamment grâce à un whitepaper hosté chez phrack.org, on connait un peu moins les attaques possibles sur les équivalents Python.

Le blog nvisium s’est penché sur un exemple de Server-Side Template Injection touchant Flask et le système de templates Jinja2.

Dans un premier article on peut voir le système de template à l’oeuvre, une faille XSS et l’extractions de données du runtime.

Le second article plonge plus profondément dans le langage Python afin d’obtenir un accès au système de fichier puis une exécution de commandes.

Faille SSRF sur Imgur

Sur le site de bug bounty HackerOne on peut lire un rapport intéressant sur une faille de sécurité qui a touché le site Imgur.

Il s’agit d’une faille SSRF touchant un script capable de télécharger une vidéo pour générer un gif animé.
Les failles de Server Side Request Forgery sont la nouvelle tendance grâce aux services en lignes qui en donnent toujours plus. C’est aussi un type de vulnérabilité que l’on retrouve souvent sur les web proxies, permettant alors d’accéder à des ressources internes (serveur CUPS par exemple) à cause d’un manque de vérification sur les URLs demandées.

Dans le cas de Imgur, le script faisait appel à la librairie cURL qui supporte bien plus de protocoles que les wrappers PHP.
Les utilisations possibles de la faille sont alors décuplées, l’article donne quelques idées sympas à mettre en oeuvre.

Staminus (boîte anti-DDoS) piraté

Via Brian Krebs :

La boîte de sécu Staminus qui offre des services de protection contre les attaques DDoS a été piraté avec de nombreuses informations volées comme on peut le voir dans un ezine baptisé Fuck’em all posté sur hastebin.

Les auteurs de l’attaque pointent du doigt les mauvaises pratiques de sécurité de l’entreprise notamment la présence de failles SQL sur leur site (pas d’utilisation des PDO), le non-chiffrement des informations bancaires stockées en base et la réutilisation d’un même mot de passe root sur toutes les machines…

Comme si ça ne suffisait pas pour l’image de Staminus, on découvre aussi qu’ils vendaient leur service au KKK

Le site officiel de l’entreprise affiche pour le moment une FAQ concernant l’attaque.