Les chercheurs de Salt Security ont découvert des vulnérabilités dans les API utilisées par BrickLink, une plateforme appartenant à la célèbre marque de jouets Lego. Ces failles permettaient l’usurpation des comptes utilisateurs, mais aussi de s’introduire sur les serveurs de l’entreprise danoise.
Il manquait des pièces dans la boîte ! Les chercheurs de Salt Security ont découvert un duo de vulnérabilités affectant Lego. Était affectée une des plateformes de la célèbre marque danoise de jouets, côté grand public. En effet, BrickLink met en relation acheteurs et vendeurs de pièces LEGO d'occasion. Elle compte plus d’un million d’utilisateurs.
La première vulnérabilité permet, dans la boîte de dialogue « Find Username » de la fonctionnalité de recherche, d’injecter du code malveillant sur la machine de la victime. Cette faille XSS (Cross-Site Scripting), qui nécessite le recours à une URL vers un site vérolé et un identifiant connu ou compromis, a permis aux chercheurs de Salt Labs de prendre le contrôle de la session de l’utilisateur auquel correspondait l’identifiant.
Compromission des sessions utilisateurs et des serveurs
La deuxième se nichait sur la la page « Upload to Wanted List » de BrickLink. Celle-ci permet aux utilisateurs de charger les listes de pièces et ensembles LEGO recherchés au format XML. Une fonctionnalité qui a permis aux experts du lab de Salt Security de procéder à une attaque par injection XXE (External Entity) sur le fichier XML. « Grâce à cette attaque par injection XXE, les chercheurs ont pu lire les fichiers sur le serveur web et exécuter une attaque SSRF (par falsification de requête côté serveur) qui a pu être exploitée de nombreuses façons, notamment pour dérober des jetons AWS EC2 sur le serveur » explique l’équipe.
Ainsi, l’exploitation de ces deux failles auraient pu permettre à un attaquant de prendre massivement le contrôle de comptes utilisateur et, en parallèle, de compromettre les serveurs de Lego. Et là, c’est « open bar », le cybercriminel ayant accès aussi bien aux données des utilisateurs qu’aux données de production internes à Lego. Prévenu par Salt Security, la société danoise a rapidement corrigé les vulnérabilités en question.