Utilisation et diffusion de ce document

Les avis de sécurité du consortium ESUP-Portail portent sur des vulnérabilités des logiciels diffusés par le consortium. Il est de la responsabilité de chacun des destinataires de ce document de ne pas le rediffuser en dehors du cadre pour lequel il a été écrit, pour des raisons évidentes de sécurité des Systèmes d'Information de tous les établissements du consortium ESUP-Portail.

Risque

• Possibilité de valider la demande de MFA à la place de l'utilisateur légitime

Systèmes affectés

• Cette vulnérabilité affecte l'ensemble des versions esup-otp-api.

Description

Une vulnérabilité élevée a été découverte dans l’application esup-otp-api, un logiciel utilisé pour l’authentification double facteur.

Cette vulnérabilité pourrait permettre à un attaquant d'accepter la demande de MFA à la place de l'utilisateur légitime.

Complexité d'exploitation

Relativement faible, une commande curl permet d'accepter la demande de MFA.

Conditions préalables 

Être authentifié avec identifiant et mot de passe d'un utilisateur ayant activé l'authentification via notifications push.

Solutions

Mise à jour d'esup-otp-api

Les administrateurs système sont encouragés à mettre à jour esup-otp-api vers la version 2.2.3 ou ultérieure qui corrige ce problème.

Cf https://github.com/EsupPortail/esup-otp-api

Applications concernées

esup-otp-api jusqu'à 2.2.3.

Analyse des logs

Une analyse des logs d'accès peut permettre de déterminer si la faille a été exploitée : tout GET avec réponse en 200 sur /users/:uid/methods/push/:lt/:hash est à considérer comme illégitime si :lt contient moins de 10 caractères .

Ainsi, dans vos logs HTTP (apache ou nginx par exemple) :

grep -E 'GET /users/[^/]+/methods/push/[^/]{1,9}/[^/]+' esup-otp-api-access.log

Liens

• https://www.esup-portail.org/wiki/display/esupotp
• https://github.com/EsupPortail/esup-otp-api/