CERT-NPS:2011:006 Faille de Sécurité potentielle affectant le Réseau National pour la Recherche Scientifique et Technique

Jun 24th, 2011No Comments

CERT-NETPEAS viens d’identifier une fuite de données potentielle qui peut avoir un impact critique sur le Réseau Informatique pour l’Enseignement et la Recherche MARWAN et sur le Centre National pour la Recherche Scientifique et Technique CNRST et le Réseau Marocain d’Incubation et Essaimage RMIE ainsi que certains universités

Voici les caractéristiques de la vulnérabilité identifiée :

Cibles : MARWAN, CNRST, RMIE

CPE (Common Platform Enumeration): N/A

Version: N/A

Vecteur: Improper Access Control (‘Authorization’)

OWASP ID: A8-Failure to Restrict URL Access

CWE (Common Weakness Enumeration) : CWE-285

Criticité: Haute (Listée dans le CWE/SANS Top 25)

Description: D’après ce qui a été constaté par le service Alertes du CERT, la faille donne l’accès à des informations confidentielles et très sensibles et semble parfaitement opérationnel.

A noter que cette fuite permet à n’importe quel attaquant d’accéder à la liste des applications mise en ligne par le réseau national pour la recherche scientifique et technique, ainsi faire main basse sur les codes d’accès (identifiants et mots de passe) des utilisateurs autorisés pour accéder à ces applications .

Exploit: L’exploitation a été envoyé aux entités concernées. Nous ne publierons pas la méthode.

Status: Les entités concernées sont informées

Credit: La faille de sécurité a été identifiée par Youssef Manar (Chercheur en Sécurité IT et Responsable Veille CERT-NETPEAS)

Leave a Reply