17 Jan. 19 Cybersécurité

Faille XSS réfléchie dans Rapid7 InsightVM

insightvm rapid7 vulnérabilité

Lors de la préparation d’une installation pour un client en Octobre 2018, notre consultant Vladimir TOUTAIN a pu identifier une faille XSS dans le scanner de vulnérabilité InsightVM proposé par Rapid7 ( Rapid7 est contributeur sur Metasploit et Commercialise Metasploit Pro).

Le Produit InsightVM

InsightVM (Anciennement Nexpose) permet de gérer ses vulnérabilités tout au long de leur cycle de vie :

  • Détection
  • Classification
  • Analyse d’impact
  • Correction

 

InsightVM effectue des scans à tous les niveaux :

  • Systèmes d’exploitation : Windows/Linux/Mac
  • Base de données
  • Application
  • Analyse des configurations d’équipement…

 

Ces scans complets permettent d’identifier rapidement des vulnrébilités sur votre système d’information. 

La fonctionnalité d'InsightVM vulnérable

InsightVM dispose d’une interface web d’administration répartie sur deux plateformes : des fonctionnalités « on-premise » et d’autres hébergées chez Rapid7. La première concerne l’administration pure du scanner de vulnérabilité (console) tandis que la deuxième permet de piloter la solution en mode projet, avec notamment l’utilisation d’indicateurs, de dashboards personnalisés et la gestion d’objectifs à atteindre.

C’est lors de la redirection depuis la partie on-premise vers celle hébergée dans le cloud que la faille XSS a pu être décelée et exploitée par notre consultant.

Découverte de la faille

En effet, le paramètre « page » accessible à l’URL /ea/redirect.jsp n’était pas suffisamment protégé et permettait alors de réinjecter du code Javascript dans le navigateur de la victime authentifiée. (OWASP Top 10-2017 A7)

Le serveur web on-premise étant paramétré de manière sécurisée, il n’était pas possible de récupérer par exemple les cookies de session. En revanche, l’authentification sur la plateforme hébergée utilise la technologie Single Sign On SAML et le token permettant de s’y authentifier était présent dans le corps de la réponse du serveur. En injectant du code Javascript afin d’extraire ce token, un attaquant aurait alors pu inciter l’administrateur InsightVM à utiliser le lien malveillant pour subtiliser son token SSO et accéder à https://eu.exposure-analytics.insight.rapid7.com/ea/sp/saml/SSO.

POC et correction

Afin de remonter la vulnérabilité InsightVM à Rapid7, Vladimir a créé un rapport sur la plateforme https://securitydesk.rapid7.com. Les équipes ingénieur et support ont rapidement investigué le problème et l’ont tenu au courant tout au long du processus. Un grand merci pour leur professionnalisme.

La vulnérabilité InsightVM a été corrigée par la version 6.5.46 sortie en Décembre 2018 et crédité dans les notes de changement de version (https://help.rapid7.com/nexpose/en-us/release-notes/index.html#6.5.46).

Le pôle audit de Certilience teste régulièrement les solutions que nous installons chez nos clients afin de fournir la meilleure qualité de service possible et participer à élever le niveau de sécurité de leur SI.