Une vulnérabilité de sécurité critique a été révélée dans la mise en œuvre de l’autorisation ouverte (OAuth) du framework de développement d’applications Expo.io.
Le défaut, auquel est attribué l’identifiant CVE CVE-2023-28131, a une cote de gravité de 9,6 sur le système de notation CVSS. La société de sécurité des API Salt Labs a déclaré que le problème rendait les services utilisant le cadre susceptible de fuite d’informations d’identification, qui pourraient ensuite être utilisées pour détourner des comptes et siphonner des données sensibles.
Dans certaines circonstances, un acteur malveillant aurait pu profiter de la faille pour effectuer des actions arbitraires au nom d’un utilisateur compromis sur diverses plateformes telles que Facebook, Google ou Twitter.
Expo, similaire à Electron, est une plate-forme open source pour le développement d’applications natives universelles qui s’exécutent sur Android, iOS et le Web.
Il convient de noter que pour que l’attaque réussisse, les sites et applications utilisant Expo doivent avoir configuré le paramètre AuthSession Proxy pour l’authentification unique (SSO) à l’aide d’un fournisseur tiers tel que Google et Facebook.
Autrement dit, la vulnérabilité pourrait être exploitée pour envoyer le jeton secret associé à un fournisseur de connexion (par exemple, Facebook) à un domaine contrôlé par un acteur et l’utiliser pour prendre le contrôle du compte de la victime.
Ceci, à son tour, est accompli en incitant l’utilisateur ciblé à cliquer sur un lien spécialement conçu qui pourrait être envoyé via des vecteurs d’ingénierie sociale traditionnels comme les e-mails, les SMS ou un site Web douteux.
Expo, dans un avis, a déclaré avoir déployé un correctif dans les heures suivant la divulgation responsable le 18 février 2023. Il est également recommandé aux utilisateurs de passer de l’utilisation des proxys d’API AuthSession à l’enregistrement direct de schémas d’URL de liens profonds auprès de fournisseurs d’authentification tiers pour activer les fonctionnalités SSO. .
« La vulnérabilité aurait permis à un attaquant potentiel d’amener un utilisateur à visiter un lien malveillant, à se connecter à un fournisseur d’authentification tiers et à révéler par inadvertance ses identifiants d’authentification tiers », a déclaré James Ide d’Expo.
« En effet, auth.expo.io stockait l’URL de rappel d’une application avant que l’utilisateur ne confirme explicitement qu’il fait confiance à l’URL de rappel. »
La divulgation fait suite à la découverte de problèmes OAuth similaires dans Booking.com (et son site sœur Kayak.com) qui auraient pu être exploités pour prendre le contrôle du compte d’un utilisateur, obtenir une visibilité complète sur ses données personnelles ou de carte de paiement et effectuer des actions. au nom de la victime.
Les découvertes surviennent également des semaines après que la société suisse de cybersécurité Sonar a détaillé une traversée de chemin et une faille d’injection SQL dans le système de gestion de contenu d’entreprise Pimcore (CVE-2023-28438) dont un adversaire peut abuser pour exécuter du code PHP arbitraire sur le serveur avec les autorisations de le serveur Web.
Sonar, en mars 2023, a également révélé une vulnérabilité de script intersite stockée non authentifiée affectant les versions 22.10.0 et antérieures de LibreNMS qui pourrait être exploitée pour obtenir l’exécution de code à distance lorsque le protocole SNMP (Simple Network Management Protocol) est activé.
