9.1 CVE-2018-14847

Un adversaire utilise des méthodes de manipulation de chemin pour exploiter la validation insuffisante des entrées d'une cible afin d'obtenir l'accès à des données qui ne devraient pas pouvoir être récupérées par des requêtes ordinaires bien formées. Une variété typique de cette attaque consiste à spécifier un chemin d'accès à un fichier souhaité avec des caractères point-point-slash, ce qui fait que l'API ou la fonction d'accès au fichier sort de la structure de répertoire prévue et se retrouve dans le système de fichiers racine. En remplaçant ou en modifiant les informations du chemin d'accès attendu, la fonction ou l'API d'accès récupère le fichier souhaité par l'attaquant. Ces attaques impliquent que l'attaquant fournisse un chemin complet vers un fichier ciblé ou qu'il utilise des caractères de contrôle (par exemple, des séparateurs de chemin (/ ou ) et/ou des points (.)) pour atteindre les répertoires ou les fichiers souhaités. [Afin d'effectuer une traversée de chemin valide, l'attaquant doit savoir quel est le système d'exploitation sous-jacent afin d'utiliser le bon séparateur de fichiers. [Examiner l'application pour identifier les entrées contrôlables par l'utilisateur] L'attaquant examine l'application cible pour identifier toutes les entrées de fichiers contrôlables par l'utilisateur. [Varier les entrées, à la recherche de résultats malveillants] Selon que l'application exploitée est distante ou locale, l'attaquant crée l'entrée malveillante appropriée contenant le chemin du fichier ciblé ou une autre syntaxe de contrôle du système de fichiers à transmettre à l'application.

Cette attaque cible l'encodage de l'URL combiné à l'encodage des caractères slash. Un attaquant peut tirer parti des multiples façons d'encoder une URL et abuser de l'interprétation de l'URL. Une URL peut contenir des caractères spéciaux qui nécessitent un traitement syntaxique particulier afin d'être interprétés. Les caractères spéciaux sont représentés par un pourcentage suivi de deux chiffres représentant le code d'octet du caractère original (%HEX-CODE). Par exemple, le caractère espace US-ASCII sera représenté par %20. Cette méthode est souvent appelée "terminaison échappée" ou "codage en pourcentage". Comme le serveur décode l'URL à partir des requêtes, il peut restreindre l'accès à certains chemins URL en validant et en filtrant les requêtes URL qu'il reçoit. Un attaquant tentera de créer une URL avec une séquence de caractères spéciaux qui, une fois interprétée par le serveur, sera équivalente à une URL interdite. Il peut être difficile de se protéger contre cette attaque car l'URL peut contenir d'autres formats d'encodage tels que l'encodage UTF-8, l'encodage Unicode, etc. L'attaquant accède au serveur en utilisant une URL spécifique. L'attaquant essaie d'encoder certains caractères spéciaux dans l'URL. L'attaquant découvre que certains caractères ne sont pas filtrés correctement. L'attaquant crée une demande de chaîne d'URL malveillante et l'envoie au serveur. Le serveur décode et interprète la chaîne d'URL. Malheureusement, comme le filtrage des entrées n'est pas effectué correctement, les caractères spéciaux ont des conséquences néfastes.

Un attaquant manipule les entrées du logiciel cible que ce dernier transmet aux appels du système de fichiers dans le système d'exploitation. L'objectif est d'obtenir l'accès, et peut-être de modifier, des zones du système de fichiers que le logiciel cible n'avait pas l'intention de rendre accessibles. [Afin de créer une injection de fichier valide, l'attaquant doit savoir quel est le système d'exploitation sous-jacent afin d'utiliser le séparateur de fichiers approprié. [Examiner l'application pour identifier les entrées contrôlables par l'utilisateur] L'attaquant examine l'application cible pour identifier toutes les entrées contrôlables par l'utilisateur, éventuellement en tant qu'utilisateur valide et authentifié. [Varier les entrées, rechercher des résultats malveillants] Selon que l'application exploitée est locale ou distante, l'attaquant crée l'entrée malveillante appropriée contenant le chemin d'accès au fichier ciblé ou toute autre syntaxe de contrôle du système de fichiers à transmettre à l'application.

Cette attaque vise l'utilisation de la barre oblique inverse dans l'encodage alternatif. Un adversaire peut fournir une barre oblique inverse comme caractère de tête et faire croire à un analyseur syntaxique que le caractère suivant est spécial. Cela s'appelle un échappement. En utilisant cette astuce, l'adversaire tente d'exploiter d'autres façons de coder le même caractère, ce qui entraîne des problèmes de filtrage et ouvre des voies d'attaque. [À l'aide d'un navigateur, d'un outil automatisé ou en inspectant l'application, un adversaire enregistre tous les points d'entrée de l'application. [Sonder les points d'entrée pour localiser les vulnérabilités] L'adversaire utilise les points d'entrée recueillis lors de la phase "Explorer" comme liste de cibles et tente d'échapper à plusieurs caractères spéciaux différents à l'aide d'une barre oblique inverse. [Manipulation de l'entrée] Une fois que l'adversaire a déterminé comment contourner les filtres qui filtrent les caractères spéciaux à l'aide d'une barre oblique inversée, il manipule l'entrée de l'utilisateur d'une manière qui n'est pas prévue par l'application.

Cette attaque cible l'encodage des caractères Slash. Un adversaire tenterait d'exploiter les problèmes de filtrage courants liés à l'utilisation des caractères slash pour accéder aux ressources de l'hôte cible. Les systèmes basés sur des répertoires, tels que les systèmes de fichiers et les bases de données, utilisent généralement le caractère slash pour indiquer la traversée entre les répertoires ou d'autres composants du conteneur. Pour des raisons historiques obscures, les PC (et, par conséquent, les systèmes d'exploitation Microsoft) choisissent d'utiliser une barre oblique inverse, alors que le monde UNIX utilise généralement la barre oblique directe. Le résultat de cette schizophrénie est que de nombreux systèmes basés sur MS doivent comprendre les deux formes de la barre oblique. Cela donne à l'adversaire de nombreuses occasions de découvrir et d'abuser d'un certain nombre de problèmes de filtrage courants. L'objectif de ce modèle est de découvrir un logiciel serveur qui n'applique des filtres qu'à une version, mais pas à l'autre. [À l'aide d'un navigateur, d'un outil automatisé ou en inspectant l'application, un adversaire enregistre tous les points d'entrée de l'application. [Sonder les points d'entrée pour localiser les vulnérabilités] L'adversaire utilise les points d'entrée recueillis lors de la phase d'"Exploration" comme liste de cibles et recherche les zones où les entrées utilisateur sont utilisées pour accéder aux ressources de l'hôte cible. L'adversaire tente d'utiliser différents codages des caractères slash pour contourner les filtres d'entrée. [Traverser les répertoires d'application] Une fois que l'adversaire a déterminé comment contourner les filtres qui filtrent les caractères obliques, il manipule la saisie de l'utilisateur pour inclure des obliques afin de traverser les répertoires et d'accéder à des ressources qui ne sont pas destinées à l'utilisateur.