Gestion du document
Origine: bjCSIRT
Numéro: 2019/ALERTE/006
Date de l’alerte: 19/09/2019
TLP: White
Aperçu de la menace
Une vulnérabilité CSRF non corrigée a été découverte dans phpMyAdmin, l’une des applications les plus populaires de gestion des bases de données MySQL et MariaDB. Elle a été récemment publiée par un chercheur en sécurité informatique, Manuel Garcia Cardenas. Le chercheur a découvert cette vulnérabilité en juin 2019 et l’a également signalée de manière responsable aux responsables du projet. Cependant, après que les responsables de phpMyAdmin aient manqué de corriger la vulnérabilité dans les 90 jours suivant leur notification, le chercheur a décidé de rendre publics les détails de la vulnérabilité et la POC le 13 septembre. Elle a donc commencé par être exploitée par des attaquants.
Description
La vulnérabilité une faille Cross-Site Request Forgery (CSRF ou XSRF), une attaque bien connue dans laquelle des attaquants incitent des utilisateurs authentifiés à exécuter une action indésirable.
Tout ce qu’un attaquant doit faire est d’envoyer une URL spécialement construite aux administrateurs Web ciblés, qui se sont déjà connectés à leur panneau phpmyAdmin sur le même navigateur, en les incitant à supprimer sans le savoir le serveur configuré en cliquant simplement dessus.
L’attaquant peut facilement créer un faux lien hypertexte contenant la requête à exécuter de la part de l’utilisateur, rendant ainsi possible une attaque CSRF en raison d’une mauvaise utilisation de la méthode HTTP.
De plus, la vulnérabilité est facile à exploiter car, outre la connaissance de l’URL d’un serveur cible, un attaquant n’a pas besoin de connaître d’autres informations additionnelles, telles que le nom des bases de données.
POC:
Mesures à prendre
1. Implémenter dans chaque appel la validation de la variable du token, comme cela avait déjà été fait dans d’autres requêtes phpMyAdmin.
2. En attendant que les responsables corrigent la vulnérabilité, il est vivement recommandé aux administrateurs de site Web et aux hébergeurs d’éviter de cliquer sur des liens suspects.
Lien Utiles
https://thehackernews.com/2019/09/phpmyadmin-csrf-exploit.html?m=1
https://nvd.nist.gov/vuln/detail/CVE-2019-12922