...
Une application extérieure (mise en place par le pirate) utilise le CAS de l'établissement comme mécanisme d'authentification (fonctionne si le CAS n'utilise pas de règles de filtrages "whitelist" sur les applications web cassifiées).
Un utilisateur va sur cette application (simple clique sur un lien par exemple) et fournit (après auth CASauthentification CAS, qui se fait de manière transparente si une session CAS est déjà existante) de fait un service ticket à cette application. Le pirate utilise ce service ticket pour s'authentifier (au nom de l'utilisateur) sur l'ENT (alors que le ticket était à destination de l'application du pirate : exploitation de la faille).
Solutions
La mise en place des listes blanches des applications cassifiés sur le CAS de l'établissement a déjà été fortement conseillée dans l'alerte ESUP-2011-AVI-A.La mise en place d'un filtre sur le serveur CAS pour éviter ce problème parait être une solution simple et efficace. L'équipe CAS a développé un tel filtre pour répondre à ce type d'attaques : https://github. com/Jasig/cas -server-security-filter
La mise à jour des librairies clientes CAS est une bonne option également, suite au signalement de cette faille les dernières versions corrigent ce problème.
Les applications web cassifiées impactées devraient ainsi proposer rapidement des mises à jour corrigeant ce problème (la mise à jour EsupPortail sur le tag uportal-4.0.15 permet également de corriger le problème pour l'ENT EsupPortail par exemple).
Liens
- Alerte mail sur cas-user : https://lists.wisc.edu/read/messages?id=3383693
- https://github.com/Jasig/cas-server-security-filter