Accueil Sécurité Selon CheckPoint, la plateforme eBay est exposée à une grave vulnérabilité

Selon CheckPoint, la plateforme eBay est exposée à une grave vulnérabilité

Une vulnérabilité de la plateforme de vente en ligne permet à des cybercriminels de diffuser des campagnes de phishing et des logiciels malveillants, affirme le spécialiste de la sécurité.

« Cette vulnérabilité permet à un agresseur de contourner la validation de code d’eBay et de contrôler le code vulnérable à distance pour exécuter du code JavaScript malveillant auprès d’utilisateurs ciblés. Sans correction de cette faille, les clients d’eBay continueront d’être potentiellement exposés à des attaques de phishing et de vol de données », prévient le spécialiste.

Selon lui, un agresseur pourrait cibler les utilisateurs d’eBay en leur envoyant une page légitime contenant du code malveillant. Lors de l’ouverture de la page, le code serait alors exécuté par le navigateur de l’utilisateur ou une application mobile, conduisant à plusieurs scénarios inquiétants allant du phishing jusqu’au téléchargement binaire.

Après avoir découvert la vulnérabilité, Check Point en a communiqué les détails à eBay le 15 décembre 2015. Cependant, le 16 janvier 2016, eBay a déclaré n’avoir prévu aucune correction de la vulnérabilité.

La technique « JSF**k »

C’est Roman Zaikin, chercheur de Check Point, a récemment découvert une vulnérabilité qui permet à des pirates d’exécuter du code malveillant sur les appareils des utilisateurs d’eBay, à l’aide d’une technique non standard appelée « JSF**k » (développée par Martin Kleppe, cette technique, qui utilise des caractères non alphanumériques, permet à un agresseur de contourner les processus de nettoyage IDS, TPRet WAF. Seuls 6 caractères différents sont utilisés : []()!+)

. Cette vulnérabilité permettrait à des cybercriminels d’utiliser eBay comme plateforme de phishing et de diffusion de logiciels malveillants.

Pour exploiter cette vulnérabilité, un agresseur a simplement besoin de créer une boutique eBay en ligne, et publier une description malveillante d’un article dans les détails de sa boutique. eBay empêche les utilisateurs d’inclure des scripts ou des iFrames en filtrant les balises HTML. Cependant, précise CheckPoint, « grâce à JSF**k, l’agresseur peut créer un code qui va charger du code JS supplémentaire depuis son serveur. Cela lui permet d’insérer du JavaScript qu’il peut contrôler et ajuster à distance, par exemple, pour adapter son attaque à un navigateur différent. »

La menace : diffusion de logiciels malveillants et vol de données privées

eBay n’effectue qu’une simple vérification, et ne supprime que les caractères alphanumériques des balises de script. La technique JSF**k permet aux agresseurs de contourner cette protection en utilisant un nombre très limité de caractères. « La méthode d’attaque fournit aux cybercriminels un moyen très facile de cibler les utilisateurs en leur envoyant un lien vers un produit très attrayant pour exécuter l’attaque. La principale menace est la diffusion de logiciels malveillants et le vol de données privées. Un agresseur pourrait également proposer une méthode de connexion alternative via Gmail ou Facebook pour détourner des comptes utilisateurs, » précise Oded Vanunu, responsable d’un groupe de recherche chez Check Point.

« Comme nous l’avons démontré à l’équipe de sécurité d’eBay dans la preuve de concept, nous avons pu contourner la politique de sécurité d’eBay et insérer du code malveillant dans la page de notre boutique sans aucune difficulté ni restriction.À ce stade, il ne nous reste plus à espérer qu’eBay finira par décider de s’occuper de cette vulnérabilité », conclut le spécialiste

Voilà à quoi ressemble l’exploitation réussie de la vulnérabilité

ebay

Comme on peut le voir, le message qui apparaît sur l’application eBay (plus précisément dans la boutique de l’agresseur sur le site eBay) incite l’utilisateur non averti à télécharger une nouvelle application mobile eBay en proposant une remise. L’utilisateur qui appuie sur le bouton « Télécharger », téléchargera à son insu une application malveillante sur son appareil mobile.