LES DOSSIERS DE L'INFORMATICIEN

L'actu cybersécurité avec L'INFO-CR

Fil d'actualité introuvable
Cybersécurité

Des failles de sécurité dans les Lego

Les chercheurs de Salt Security ont découvert des vulnérabilités dans les API utilisées par BrickLink, une plateforme appartenant à la célèbre marque de jouets Lego. Ces failles permettaient l’usurpation des comptes utilisateurs, mais aussi de s’introduire sur les serveurs de l’entreprise danoise.

Il manquait des pièces dans la boîte ! Les chercheurs de Salt Security ont découvert un duo de vulnérabilités affectant Lego. Était affectée une des plateformes de la célèbre marque danoise de jouets, côté grand public. En effet, BrickLink met en relation acheteurs et vendeurs de pièces LEGO d'occasion. Elle compte plus d’un million d’utilisateurs.

La première vulnérabilité permet, dans la boîte de dialogue « Find Username » de la fonctionnalité de recherche, d’injecter du code malveillant sur la machine de la victime. Cette faille XSS (Cross-Site Scripting), qui nécessite le recours à une URL vers un site vérolé et un identifiant connu ou compromis, a permis aux chercheurs de Salt Labs de prendre le contrôle de la session de l’utilisateur auquel correspondait l’identifiant.

Compromission des sessions utilisateurs et des serveurs

La deuxième se nichait sur la la page « Upload to Wanted List » de BrickLink. Celle-ci permet aux utilisateurs de charger les listes de pièces et ensembles LEGO recherchés au format XML. Une fonctionnalité qui a permis aux experts du lab de Salt Security de procéder à une attaque par injection XXE (External Entity) sur le fichier XML. « Grâce à cette attaque par injection XXE, les chercheurs ont pu lire les fichiers sur le serveur web et exécuter une attaque SSRF (par falsification de requête côté serveur) qui a pu être exploitée de nombreuses façons, notamment pour dérober des jetons AWS EC2 sur le serveur » explique l’équipe.

Ainsi, l’exploitation de ces deux failles auraient pu permettre à un attaquant de prendre massivement le contrôle de comptes utilisateur et, en parallèle, de compromettre les serveurs de Lego. Et là, c’est « open bar », le cybercriminel ayant accès aussi bien aux données des utilisateurs qu’aux données de production internes à Lego. Prévenu par Salt Security, la société danoise a rapidement corrigé les vulnérabilités en question.

La quotidienne de l'Informaticien

Abonnez-vous gratuitement 😊

 

Mon panier

 x 

Panier Vide

Notre préférence

Copyright © 2024 L'INFORMATICIEN
- L1FO par l'Informaticien -
Tous droits réservés L'Informaticien
Le magazine L'Informaticien et le site linformaticien.com sont édités par la société PC Presse
Contacts :
  • 88, boulevard de la Villette, 75019 PARIS - FRANCE
  • Tél. +33 1 74 70 16 30
  • Rédaction : [email protected]
  • Abonnements : [email protected]
  • Directeur de la publication : Gaël Chervet
  • Rédacteur en Chef : Bertrand Garé
  • Chef de rubrique : Guillaume Périssat
  • Partenariats / Publicité : Stéphane Larcher /
    +33 1 74 70 16 30 / [email protected]
  • Chef de studio : Franck Soulier
  • L'INFOCYBERRISQUES est édité par PC PRESSE SA au capital de 130.000 euros, 443 043 369 RCS PARIS
Une société du Groupe Ficade
Powered by Mediamatis