Dans le paysage numérique actuel des entreprises, les applications web sont devenues des cibles alléchantes pour les pirates informatiques. Selon le rapport 2018 sur les enquêtes de violations de données de Verizon, 25 % des violations de données ont visé des applications web. Chaque jour, de nouveaux piratages et de nouvelles attaques sont déployés pour exploiter les failles de sécurité des applications web. Les nouvelles vulnérabilités étant exposées à un rythme que la plupart des organisations ne peuvent plus suivre, il n'est pas surprenant que la sécurité des applications soit devenue l'un des principaux facteurs influençant la perception de la marque d'une entreprise.
C'est pourquoi l'équipe d'ADSelfService Plus se concentre sur la correction des vulnérabilités et des failles de sécurité identifiées lorsqu'elles sont détectées dans le produit. La liste ci-dessous décrit les problèmes courants de sécurité des applications qui ont été trouvés dans ADSelfService Plus, du plus récent au plus ancien, et comment chaque problème est traité. N'oubliez pas que si vous configurez un fichier XML pour corriger un problème, vous devez redémarrer ADSelfService Plus pour que les changements soient pris en compte.
Dépendance de Log4j (CVE-2021-44228)
Gravité : Critique
Une vulnérabilité dans la bibliothèque Apache Log4j permet des attaques non autorisées d'exécution de code à distance.
Correctif : La dépendance à la bibliothèque Log4j a été complètement supprimée.
ADSelfService Plus a corrigé cette vulnérabilité dans la build 6119.
Remarque : La bibliothèque Log4j est requise si vous avez activé RSA SecurID comme authentifiant pour la fonction MFA de ADSelfService Plus. Pour plus de détails, consultez cette publication.
Exposition d'un utilisateur de domaine (CVE-2021-20147)
Gravité : Moyen
Cette vulnérabilité dans le processus ChangePasswordAPI permet à un attaquant distant non authentifié de déterminer si un utilisateur du domaine Windows existe.
Correctif : La dépendance à la bibliothèque Log4j a été complètement supprimée.
ADSelfService Plus a corrigé cette vulnérabilité dans la build 6116.
Exposition de la stratégie de mot de passe de domaine (CVE-2021-20148)
Gravité : Moyen
Si ADSelfService Plus est configuré avec plusieurs domaines Windows, un utilisateur d'un domaine peut obtenir la stratégie de mot de passe d'un autre domaine en s'authentifiant au service, puis en envoyant une requête spécifiant le fichier de stratégie de mot de passe de l'autre domaine.
Correctif : L'accès à la stratégie de mot de passe du domaine HTML est maintenant restreint pour tous les utilisateurs.
ADSelfService Plus a corrigé cette vulnérabilité dans la build 6116.
Contournement d'authentification (CVE-2021-40539)
Gravité : Élevée
Cette vulnérabilité pourrait conduire à un contournement d'authentification affectant les URL de l'API REST. Ce contournement pourrait conduire à une prise de contrôle de la machine.
Correctif : La validation des API a été renforcée et les API non sécurisées ont été supprimées.
ADSelfService Plus a corrigé cette vulnérabilité dans la build 6114.
Injection MIME dans les e-mails (CVE-2021-37420)
Gravité : Critique
Cette vulnérabilité permet à des attaquants non authentifiés d'envoyer des e-mails de n'importe quel contenu aux utilisateurs du domaine en envoyant des requêtes spécialement conçues au point de terminaison "/RestAPI/PasswordSelfServiceAPI".
Correctif : Les données envoyées au paramètre "ACTION_TO_PERFORM" sont validées par rapport à une liste blanche définie d'actions acceptées et les actions inconnues sont bloquées.
ADSelfService Plus a corrigé cette vulnérabilité dans la build 6112.
Injection SQL booléenne (CVE-2021-37422)
Gravité : Élevée
Cette vulnérabilité permet d'effectuer des attaques par injection SQL booléenne dans Oracle Database en ajoutant une entrée utilisateur non sécurisée dans la requête SQL qui lie manuellement le compte à la base de données. L'injection peut être suivie de l'exfiltration d'informations stockées dans la base de données.
Correctif : Les caractères spéciaux sont correctement nettoyés avant que la chaîne ne soit ajoutée à la requête SQL.
ADSelfService Plus a corrigé cette vulnérabilité dans la build 6112.
Prise de contrôle de compte via la création de compte machine (CVE-2021-37424)
Gravité : Élevée
Cette vulnérabilité peut conduire à la prise de contrôle d'un compte d'administrateur de domaine en exploitant le code du programme du produit pour supprimer les espaces en tête dans le champ du nom d'utilisateur. Un attaquant peut créer un compte machine avec le nom d'utilisateur « Administrator » et l'utiliser pour se connecter à ADSelfService Plus. En supprimant les espaces, l'attaquant est connecté en tant que « Administrateur », qui est le compte de l'administrateur du domaine. L'attaquant peut alors modifier les informations d'inscription enregistrées dans le produit, changer le mot de passe du compte de l'administrateur de domaine et compromettre le domaine AD.
Correctif : Les caractères d'espacement de début et de fin ne doivent pas être supprimés des noms d'utilisateur fournis. Si le texte est utilisé dans le filtre de recherche LDAP, les caractères d'espacement de début et de fin doivent être correctement codés.
ADSelfService Plus a corrigé cette vulnérabilité dans la build 6112.
Attaque par falsification de requête côté serveur (SSRF) dans l'environnement de haute disponibilité (CVE-2021-37419)
Gravité : Élevée
Cette vulnérabilité permet aux attaquants de mener une attaque SSRF en envoyant des requêtes POST depuis le serveur principal d'ADSelfService Plus dans la configuration de haute disponibilité vers le point de terminaison /servlet/ADSHACluster sans authentification. Les paramètres peuvent également être injectés dans le corps de la demande POST.
Correctif : Les données fournies dans les paramètres JSON haAuthKey et MASTER_SERVER_URL doivent être correctement nettoyées.
Soit le paramètre MASTER_SERVER_URL doit être validé par rapport à une liste blanche, soit les points de terminaison vulnérables doivent être réservés aux utilisateurs autorisés.
ADSelfService Plus a corrigé cette vulnérabilité dans la build 6112.
Problème de prise de contrôle de compte (CVE-2021-37927)
Gravité : Élevée
Cette vulnérabilité permet aux attaquants d'intercepter la valeur de l'attribut samlResponse renvoyée par le fournisseur d'identité lors des connexions SSO SAML, de modifier l'identifiant de messagerie fourni dans le champ in NameId, et de prendre le contrôle d'un compte utilisateur sans la signature.
Correctif : Vérification renforcée de la signature SAML.
ADSelfService Plus a corrigé cette vulnérabilité dans la build 6110.
Authentification de code à distance par injection PowerShell (CVE-2021-33055)
Gravité : Élevée
Une vulnérabilité qui exploite les divergences dans le codage et le décodage du guillemet spécial dans les paramètres d'entrée utilisateur pour effectuer une exécution de code à distance non authentifiée et authentifiée par injection PowerShell.
Correctif : Encodez complètement toutes les valeurs des paramètres en base64 avant de les transmettre à PowerShell.
ADSelfService Plus a corrigé cette vulnérabilité dans la build 6105.
Vulnérabilité de contournement de CAPTCHA (CVE-2021-37417)
Gravité : Moyen
Une vulnérabilité qui permet aux utilisateurs de contourner le CAPTCHA dans la page de connexion d’ADSelfServie Plus en utilisant le paramètre EXCLUDE_CAPTCHA dans l'URL /j_security_check, ce qui pourrait conduire à des attaques par force brute.
Correctif : Supprimez l’indicateur EXCLUDE_CAPTCHA pour éviter qu'il ne soit traité par le paramètre.
ADSelfService Plus a corrigé cette vulnérabilité dans la build 6104.
Attaque par script inter-site (CVE-2021-27956)
Gravité : Élevée
Une vulnérabilité rare pouvant conduire à des attaques de type Scripting inter-site dans le champ de l'adresse e-mail utilisé dans la fonction de recherche des employés.
Correctif:.
ADSelfService Plus a corrigé cette vulnérabilité dans la build 6104.
Attaque par script inter-site réfléchie (CVE-2021-37416)
Gravité : Moyen
Cette vulnérabilité rend ADSelfService Plus vulnérable à une attaque de type Reflected Cross-Site-Scripting via le paramètre single_signout dans le point de terminaison /LoadFrame, conduisant potentiellement à la prise de contrôle du compte de la victime.
Correctif : Les caractères spéciaux sont nettoyés avant que la chaîne ne soit ajoutée au code HTML.
ADSelfService Plus a corrigé cette vulnérabilité dans la build 6104.
Exposition des informations de l'application de base de données (CVE-2021-31874)
Gravité : Élevée
Une vulnérabilité qui, dans de rares cas, permet aux attaquants d'exposer des informations sur l'application de base de données configurée pour la synchronisation des mots de passe en exploitant le paramètre HOST_NAME envoyé lors de la liaison des comptes avec cette base de données.
Correctif : Le paramètre HOST_NAME fourni par l'utilisateur n'est pas traité par l'application, mais la valeur HOST_NAME fournie par l'administrateur lors de la configuration de l'application est utilisée.
ADSelfService Plus a corrigé cette vulnérabilité dans la build 6104.
Contournement des restrictions d'accès au portail d'administration via l'en-tête X-Forwarded-For (CVE-2021-37421)
Gravité : Moyen
ADSelfService Plus permet aux administrateurs informatiques de restreindre l'accès au portail d'administration en fonction des adresses IP. Un attaquant peut contourner ce mécanisme de sécurité en utilisant l'en-tête « X-Forwarded-For » défini sur l'adresse IP de la liste blanche.
Correctif : Le contenu de l'en-tête X-Forwarded-For ne doit pas être considéré comme l'adresse IP source, car il peut être modifié par l'utilisateur.
ADSelfService Plus a corrigé cette vulnérabilité dans la build 6104.
Exécution de code à distance non authentifiée pendant la fonction de changement de mot de passe (CVE-2021-28958)
Gravité : Élevée
Cette vulnérabilité est due à une mauvaise désinfection des guillemets doubles lorsque le changement de mot de passe utilisateur est effectué à l'aide de scripts PowerShell, ce qui rend les scripts PowerShell vulnérables à l'injection et à l'exécution de code à distance.
Correctif : Les caractères spéciaux sont correctement encodés avant que la chaîne ne soit ajoutée au script PowerShell.
ADSelfService Plus a corrigé cette vulnérabilité dans la build 6102.
Correction des clés de chiffrement (CVE-2019-7161)
Gravité : Élevée
Cette vulnérabilité est apparue car ADSelfService Plus utilisait des clés de chiffrement codées en dur pour protéger les informations, ce qui permettait à un attaquant de déchiffrer toutes les données protégées.
Correctif:
ADSelfService Plus a corrigé cette vulnérabilité dans la build 6100.
Autorisation non conforme (ZVE-2020-4164)
Gravité : Moyen
Cette vulnérabilité entraîne une autorisation incorrecte des actions de l'utilisateur final.
Correctif : Une autorisation appropriée a été fournie pour les actions de l'utilisateur final.
ADSelfService Plus a corrigé cette vulnérabilité dans la build 6100.
Exécution de code à distance non authentifiée (CVE-2020-11552)
Gravité : Élevée
Cette vulnérabilité se produit lorsque le produit n'applique pas correctement les privilèges des utilisateurs associés à la boîte de dialogue des certificats Windows. Cela permet à un attaquant non authentifié d'exécuter à distance des commandes avec des privilèges de niveau système sur l'hôte Windows cible.
Correctif : Un site de contrôle personnalisé a été créé pour ne plus afficher les alertes de sécurité liées aux certificats qui ont causé le problème.
ADSelfService Plus a corrigé cette vulnérabilité dans la build 6003.
Intégrations de produits ManageEngine contournant l'authentification
Gravité : Élevée
Cette vulnérabilité permet aux attaquants de s'intégrer à d'autres produits ManageEngine, en contournant le contrôle d'authentification.
Correctif : Les appels non autorisés ont été limités.
ADSelfService Plus a corrigé cette vulnérabilité dans la build 5817.
Vulnérabilité d'exécution de code à distance
Gravité : Élevée
Cette vulnérabilité permet à un attaquant distant de compromettre les systèmes vulnérables. Elle existe en raison de la validation insuffisante des données entrées par l'utilisateur. Un non-attaquant distant peut passer une entrée spécialement conçue à l'application, et exécuter un code arbitraire sur le système cible.
Correctif : Accès désactivé au point de terminaison /cewolf.
ADSelfService Plus a corrigé cette vulnérabilité dans la build 5815.
Vulnérabilité de la clé de poignée de main prévisible
Gravité : Moyen
Cette vulnérabilité permet à un attaquant distant de prédire la clé de poignée de main et de compromettre les systèmes vulnérables.
ADSelfService Plus a corrigé cette vulnérabilité dans la build 5815.
Contournement d'authentification dans ADSelfService Plus
Gravité : Élevée
Cette vulnérabilité permet à un attaquant d'accéder à l'Explorateur de fichiers d'un ordinateur par le biais de l'agent de connexion ADSelfService Plus en utilisant des certificats SSL auto-signés.
Correctif : La vulnérabilité a été résolue en activant l'indicateur RESTRICT_BAD_CERT par défaut.
ADSelfService Plus a corrigé cette vulnérabilité dans la build 5814.
Vulnérabilité XSS due à l'API de l'application mobile
Gravité : Moyen
Cette vulnérabilité permet à un attaquant d'exploiter les connexions que les utilisateurs ont avec des applications non sécurisées. Un attaquant peut se faire passer pour un utilisateur, effectuer toutes les actions que l'utilisateur peut effectuer et accéder à toutes les données de l'utilisateur.
Correctif : Le contenu malveillant réfléchi est échappé (ignoré ou supprimé) afin qu'il ne soit pas interprété comme du HTML.
ADSelfService Plus a corrigé cette vulnérabilité dans la build 5708.
Vulnérabilité SSRF
Gravité : Moyen
La falsification de requêtes côté serveur (également connue sous le nom de SSRF) est une vulnérabilité qui permet à un attaquant d'inciter une application côté serveur à envoyer des requêtes HTTP à un domaine arbitraire, choisi par l'attaquant. Ceci peut conduire à un accès à des données au sein de l'entreprise, soit dans l'application non sécurisée elle-même, soit dans d'autres systèmes dorsaux avec lesquels l'application communique.
ADSelfService Plus a corrigé cette vulnérabilité dans la build 5703.
Faille d'injection dans les agents de connexion Windows et Linux
Gravité : Élevée
Cette vulnérabilité permet à un attaquant d'exploiter le logiciel client ADSelfService Plus et d'obtenir les privilèges SYSTEM sur un ordinateur Windows ou Linux en ayant un accès physique à celui-ci.
Correctif :
Une mise à jour de sécurité a été publiée pour corriger cette vulnérabilité.
ADSelfService Plus a corrigé cette vulnérabilité dans la build 5802.
Vulnérabilité des entités externes XML
Gravité : Élevée
L'injection d'entités externes XML (également appelées XXE) est une vulnérabilité de cybersécurité qui permet à un attaquant d'intervenir dans le traitement des données XML d'une application. Il permet également à un intrus de visualiser les fichiers du système de fichiers du serveur d'application et de communiquer avec tout système back-end ou externe accessible à l'application.
Correctif : Les fichiers JAR vulnérables ont été supprimés et mis à jour avec les fichiers appropriés. ADSelfService Plus a corrigé cette vulnérabilité dans la build 5701.
L’indicateur HttpOnly manque dans les cookies
Gravité : Basse
L'absence de l'indicateur HttpOnly dans les cookies augmente le risque qu'un script côté client accède aux cookies, ce qui peut conduire à une attaque de falsification de requête intersites (cross-site request forgery ou CSRF).
Correctif : ADSelfService Plus inclut l’indicateur HttpOnly dans les cookies. Lorsqu'un script côté client tente de lire le cookie, le navigateur renvoie une chaîne vide comme résultat. ADSelfService Plus a corrigé cette vulnérabilité dans la build 5520, le 31 mai 2018.
Exploitation des méthodes HTTP inutilisées
Gravité : Basse
Les méthodes HTTP telles que GET, HEAD, TRACE, PUT, DELETE et OPTIONS sont sujettes à des attaques et constituent des menaces pour la sécurité des applications web. Par exemple, TRACE est utilisé pour renvoyer au client une chaîne de caractères envoyée au serveur web. Bien que TRACE ait été initialement conçu à des fins de débogage, il peut être utilisé pour monter une attaque de type cross-site tracing (XST) contre des serveurs.
Correctif : ADSelfService Plus bloque les méthodes HTTP non utilisées comme GET, HEAD, DELETE TRACE, et OPTIONS.
ADSelfService Plus a corrigé cette vulnérabilité dans la build 5517, le 17 avril 2018.
Vulnérabilités dans les anciennes versions de jQuery
Gravité : Élevée
Les versions antérieures de jQuery contiennent des failles de sécurité.
Correctif : ADSelfService Plus a mis à niveau le paquet jQuery de 1.8.1 à 1.12.2 dans la build 5517, le 17 avril 2018.
Vulnérabilité du téléchargement de fichiers sans restriction
Gravité : Élevée
Dans ce type de vulnérabilité, un attaquant télécharge une requête POST multipart ou form-data avec un nom de fichier ou un type MIME spécialement conçu, ce qui entraîne un script inter-sites (XSS) et l'exécution de code malveillant du côté du serveur.
Correctif : ADSelfService Plus utilise un filtre de liste blanche lors du téléchargement de fichiers. Il accepte uniquement les formats PNG, HTML, CSV, PDF, XLS, XLXS et CSVDE.
ADSelfService Plus a corrigé cette vulnérabilité dans la build 5516, le 29 mars 2018.
Vulnérabilité à la falsification des requêtes côté serveur
Gravité : Élevée
Dans une attaque par falsification de requête côté serveur (SSRF), un attaquant modifie une URL existante ou fournit une nouvelle URL à envoyer au serveur. Lorsque cette demande d'URL manipulée est traitée par le serveur, ce dernier lit ou soumet des données à l'URL manipulée. En général, l'attaquant cible le code de hachage NTLM de comptes spécifiques pour accéder aux ressources liées à ce compte.
Correctif : ADSelfService Plus a mis à niveau le fichier dd-plist.jar (emplacement par défaut : Répertoire d’installation\dd-plist.jar) dans la build 5516, le 29 mars 2018.
Vulnérabilité XSS réfléchie
Gravité : Élevée
La vulnérabilité XSS réfléchie est spécifiquement conçue pour attaquer les sites web qu'un utilisateur visite. Si un utilisateur clique sur un lien malveillant dans un site de confiance, un script est injecté dans la requête, qui est transmise au serveur et réfléchie, de telle sorte que la réponse HTTP inclut le script malveillant. Le navigateur exécute le script malveillant parce que ce script provient d'un serveur « de confiance ».
Correctif : ADSelfService Plus aseptise le script des caractères comme <, >, &, ', et " présents dans les paramètres de la requête.
ADSelfService Plus a corrigé cette vulnérabilité dans la build 5516, le 29 mars 2018.
Contournement des validations côté client
Gravité : Élevée
En exploitant cette vulnérabilité, un attaquant contourne la validation des entrées côté client pour le contenu ciblé, par exemple les champs de mot de passe.
Les attaquants contournent généralement les validations d'entrée d'une application Web en supprimant le JavaScript à l'aide d'un outil de développement Web ou en traitant la requête HTTP (à l'aide d'un outil proxy) de manière à ce qu'elle ne passe pas par le navigateur.
Correctif : Il n'y a pas de correctif nécessaire pour cette vulnérabilité. ADSelfService Plus est immunisé contre cette vulnérabilité car il pratique la validation côté client et côté serveur.
Fuite d'informations par le biais de commentaires
Gravité : Basse
Une fuite d'informations se produit lorsqu'une application divulgue involontairement des données sensibles, telles que les détails techniques d'un réseau ou d'une application, ou des données spécifiques à un utilisateur. En fonction de la fuite, un attaquant peut utiliser ces données pour exploiter l'application web cible, son réseau d'hébergement ou les utilisateurs de l'application.
Correctif : Les programmeurs d'ADSelfService Plus ont veillé à supprimer les informations sensibles qui auraient pu être divulguées par le biais de commentaires dans le code source.
Empreinte digitale du serveur web
Gravité : Basse
L'exploitation des failles de sécurité d'une application est plus facile si les attaquants connaissent la plateforme sur laquelle l'application web a été construite. Bien que les en-têtes HTTP soient principalement utilisés pour fournir des informations permettant un traitement efficace des demandes et des réponses, ils peuvent également être exploités par des attaquants pour identifier le serveur web utilisé et sa version.
Correctif : Aucun correctif n'est nécessaire pour cette vulnérabilité. ADSelfService Plus est immunisé contre cette vulnérabilité car il ajoute une balise serveur dans le fichier server.xml (emplacement par défaut : Répertoire d’installation Directory/conf) pour cacher le serveur web réel.
Exemple:
<Connector port="8888" name="WebServer" maxThreads="150" minSpareThreads="25" maxSpareThreads="75" enableLookups="false" redirectPort="8443" acceptCount="100" connectionTimeout="20000" disableUploadTimeout="true" URIEncoding="UTF-8" server="ADSSP" />
Connexions simultanées à des sessions
Gravité : Moyen
Avec une application conçue pour accepter des connexions simultanées, un utilisateur malveillant peut saisir des informations d'identification valides en même temps que celles d'un utilisateur légitime pour s'authentifier sur le réseau. Ceci risque d'engendrer des problèmes de sécurité au sein de l'organisation, comme l'utilisation abusive des informations personnelles de l'utilisateur pour effectuer des actions non autorisées.
Correctif : La fonction « Refuser les connexions simultanées » d’ADSelfService Plus empêche les utilisateurs d'exécuter plusieurs sessions à la fois dans le produit.
ADSelfService Plus a corrigé cette vulnérabilité dans la build 5517, en avril 2018.
Vulnérabilités de type « Cross-Site-Scripting » (XSS)
Gravité : Élevée
Les attaques XSS impliquent qu'un attaquant injecte un script côté client dans l'application cible. Le navigateur de l'utilisateur final n'a aucun moyen de savoir si le script est digne de confiance : il exécute donc le script malveillant.
Correctif : Supprimez le # au début de X-XSS-Protection dans le fichier security_params.xml (emplacement par défaut : Répertoire d'installation/conf) et définissez-le comme suit 1. La plupart des navigateurs reconnaissent cet en-tête et prennent les mesures nécessaires pour prévenir les attaques XSS lorsqu'ils le voient.
Voici à quoi ressemblera l'en-tête après le correctif :
X-XSS-Protection=1
ADSelfService Plus a corrigé cette vulnérabilité dans la build 4500.
Fausse déclaration de requête intersite (CSRF)
Gravité : Élevée
L'attaque CSRF consiste à inciter un navigateur web à exécuter une commande indésirable dans une application à laquelle l'utilisateur est connecté. Pour ce faire, l'utilisateur clique par inadvertance sur un lien malveillant sur un site Web légitime. Cela envoie une requête HTTP que l'utilisateur n'avait pas l'intention de lancer, qui comprend un en-tête de cookie contenant l'ID de session de l'utilisateur. De plus, comme l'application authentifie l'utilisateur au moment de l'attaque, il lui est impossible de distinguer les demandes légitimes des fausses.
Correctif : ADSelfService Plus envoie chaque requête avec un jeton. Cela permet d'éviter l'exécution d'actions qui ne fournissent pas les jetons d'authentification nécessaires.
ADSelfService Plus a corrigé cette vulnérabilité dans la build 5300, en avril 2015.
Cross-Frame Scripting (XSF)/Clickjacking (attaque par détournement de clics)
Gravité : Élevée
Dans le cas du Cross-Frame Scripting, l'utilisateur est incité à cliquer sur quelque chose de différent de ce qu'il pensait, ce qui l'amène à révéler par inadvertance des informations sensibles ou à exécuter une commande involontaire. En général, le Cross-Frame Scripting est réalisé lorsqu'un attaquant incorpore des iFrames malveillants dans un site Web légitime pour inciter les utilisateurs à saisir leurs informations. Si un utilisateur saisit ses informations d'identification sur le site légitime dans l'iFrame, le keylogger JavaScript malveillant enregistre les frappes de la victime et les envoie au serveur de l'attaquant.
Correctif : Supprimez le # au début de l'élément x-frame-options dans le fichier security_params.xml (emplacement par défaut : Répertoire d'installation/conf) et définissez-le sur SAMEORIGIN. Ce correctif ne permet pas aux autres sites de charger ADSelfService Plus dans leurs iFrames.
Voici à quoi ressemblera la demande d'en-tête après le correctif :
x-frame-options=SAMEORIGIN
ADSelfService Plus a corrigé cette vulnérabilité dans la build 5300, en avril 2015.
Stratégie de cache faible ou stratégie de cache du serveur
Gravité : Moyen
Une page de navigateur stocke le contenu en cache sur la machine de l'utilisateur afin de ne pas avoir à le télécharger chaque fois que l'utilisateur ouvre cette page. Même dans les canaux SSL sécurisés, des données sensibles peuvent être stockées par des proxies et des terminateurs SSL. Si un attaquant exploite le cache du navigateur, des données sensibles telles que les détails des cartes de crédit et les noms d'utilisateur sont en danger.
Correctif : Chaque page HTTP dans ADSelfService Plus est définie avec les en-têtes de réponse Cache-Control, Pragma, et Expires pour empêcher la mise en cache de toute donnée. Pour activer ce correctif, vous devez enlever le # au début de cache-control=no-cache, no-store dans le fichier security_params.xml (emplacement par défaut : Répertoire d'installation/conf).
Voici à quoi ressemblera la demande d'en-tête après le correctif :
cache-control=no-cache, no-store
ADSelfService Plus a corrigé cette vulnérabilité dans la build 5300, en avril 2015.
MIME-SNIFFING
Gravité : Basse
Lorsqu'il n'y a pas assez de métadonnées pour déterminer le type de contenu des données, la plupart des navigateurs, notamment Microsoft Internet Explorer, tentent de déterminer le type de contenu correct à l'aide d'une technique appelée « détection MIME » (ou « type de média »). Cependant, les attaquants exploitent cette technique en manipulant le navigateur pour qu'il interprète les données d'une manière permettant des opérations inattendues, comme le Cross-Site Scripting.
Correctif : Supprimez le # au début de l'élément x-content-type et affectez-lui la valeur nosniff dans le fichier security_params.xml.
Voici à quoi ressemblera la demande d'en-tête après le correctif :
x-content-type=nosniff
ADSelfService Plus a corrigé cette vulnérabilité dans la build 5300, en avril 2015.
Partage de ressources d'origine croisée (CORS) avec caractères génériques non sécurisés
Gravité : Élevée
Le partage des ressources d'origine croisée (Cross-Origin Resource Sharing, CORS) est une norme qui définit un ensemble d'en-têtes permettant à un serveur et à un navigateur de déterminer quelles demandes de ressources inter-domaines sont autorisées et lesquelles ne le sont pas. L'inconvénient de cette norme est qu'elle ne permet pas de valider/de mettre sur liste blanche les demandeurs si l'attribut access-control-allow-origin est réglé sur '*'. Ce symbole est un caractère de remplacement et le fait de définir le contrôle d'accès sur * permet essentiellement à n'importe quel domaine du web d'accéder aux ressources de ce site.
Correctif : Définissez access-control-allow-origin sur un nom de domaine spécifique pour corriger la vulnérabilité CORS. ADSelfService Plus a corrigé cette vulnérabilité dans la build 5300, en avril 2015.
Problème de saisie semi-automatique du navigateur
Gravité : Basse
La plupart des navigateurs font une copie en cache des informations d'identification d'un utilisateur saisies dans des formulaires HTML. Cette fonction stocke les informations d'identification sur la machine de l'utilisateur, ce qui permet une réponse plus rapide la prochaine fois que l'utilisateur tente d'accéder à l'application. Cette vulnérabilité peut être exploitée par un attaquant disposant d'un accès local, ce qui lui permet de visualiser des mots de passe en texte clair à partir du cache du navigateur.
Correctif : ADSelfService Plus ne permet pas l'utilisation de la fonction de saisie semi-automatique dans ses champs de mot de passe.
ADSelfService Plus a corrigé cette vulnérabilité dans la build 5300, en avril 2015.
Absence d’indicateur HTTPOnly et de l’indicateur sécurisé dans les cookies de session
Gravité : Basse
Si un cookie de session ne comporte pas d'indicateur HttpOnly, il est possible d'y accéder via JavaScript. Cela signifie essentiellement qu'une attaque XSS peut entraîner le vol de cookies, ce qui peut conduire à la prise de contrôle d'un compte ou d'une session.
Correctif : Activez SSL dans ADSelfService Plus, puis définissez l'indicateur HTTPOnly et l'indicateur sécurisé pour les cookies de session. En procédant ainsi, le navigateur renvoie une chaîne vide si un script côté client tente de lire les cookies. ADSelfService Plus a corrigé cette vulnérabilité dans la build 5300, en avril 2015.
Vulnérabilités de SHA1WithRSA
Gravité : Élevée
L'utilisation de SHA1WithRSA provoque une vulnérabilité de collision, qui permet à un attaquant de créer deux chaînes d'entrée avec le même hachage SHA-1, avec moins de puissance de calcul que ce qu'il faudrait pour une bonne fonction de hachage.
Correctif : ADSelfService Plus utilise SHA256WithRSAENCRYPTION par défaut pour surmonter cette vulnérabilité de sécurité.
ADSelfService Plus a corrigé cette vulnérabilité dans la build 5300, en avril 2015.
Fixation de session
Gravité : Élevée
Dans cette vulnérabilité, un attaquant cible les limites de gestion des identifiants de session de l'application. Lorsque l'utilisateur malveillant visite l'application, un identifiant de session lui est attribué. L'attaquant prend note de cet identifiant de session et laisse le navigateur ouvert. Si un autre utilisateur sur la même machine s'authentifie dans l'application sans fermer le navigateur, il sera connecté avec l'ID de session défini par l'attaquant. L'attaquant peut utiliser ces informations pour obtenir un accès complet au compte de l'application de l'utilisateur jusqu'à la fin de cette session. Cela peut entraîner des problèmes de sécurité potentiels, car l'attaquant peut utiliser cet accès pour modifier le mot de passe de l'utilisateur.
Correctif : ADSelfService Plus crée de nouveaux identifiants de session pour chaque authentification réussie (c'est-à-dire pour chaque nouvelle session).
ADSelfService Plus a corrigé cette vulnérabilité dans la build 5300, en avril 2015.
Injection SQL à travers la build d’infrastructure
Gravité : Élevée
L'injection SQL se produit lorsqu'un attaquant ajoute ou injecte du code malveillant dans une instruction SQL exécutée par l'application web. Une injection SQL réussie permet aux attaquants d'usurper l'identité d'un utilisateur, d'altérer des données existantes et même de prendre le contrôle total du serveur de l'application web.
Correctif : Les opérations de base de données pour ADSelfService Plus sont gérées par notre infrastructure interne afin de prévenir les injections SQL et autres attaques similaires.
Chiffrement SSL faible
Gravité : Élevée
Chaque application dépend de la protection de trois paramètres, connus collectivement sous le nom de suite de chiffrement : l'authentification, le chiffrement et les algorithmes de hachage. Une application qui s'appuie sur SSL/TLS pour les transmissions de données avec des chiffrements faibles laisse l'application sans protection et permet à un attaquant de voler ou de manipuler des données sensibles.
Correctif : Ajoutez les chiffrements forts fournis ci-dessous à ADSelfService Plus dans le fichier server.xml (emplacement par défaut : Répertoire d'installation/conf).
ciphers="TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA" allowUnsafeLegacyRenegotiation="false" server="Adselfservice Plus" sslProtocol="TLS" sslEnabledProtocols="TLSv1.2" compression="off"
Example:
<Connector SSLEnabled="true" acceptCount="100" compression="off" ciphers="TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA" clientAuth="false" connectionTimeout="-1" debug="0" disableUploadTimeout="true" enableLookups="false" keystoreFile="./conf/server.keystore" keystorePass="adventnet" maxSpareThreads="75" maxThreads="150" minSpareThreads="25" name="SSL" port="9251" scheme="https" secure="true" allowUnsafeLegacyRenegotiation="false" server="AdselfservicePlus" sslProtocol="TLS" sslEnabledProtocols="TLSv1.2" />
If you encounter any other errors not listed above, please email us at support@adselfserviceplus.com, or give us a call at +1.408.916.9890.
Visit: www.adselfserviceplus.com
Éliminez les longs appels au service d’assistance pour les utilisateurs de Windows Active Directory en leur permettant de réinitialiser leur mot de passe et de déverrouiller leur compte en libre-service.
Accédez en un clic à plus de 100 applications cloud. Grâce à l'authentification unique d’entreprise, les utilisateurs peuvent accéder à toutes leurs applications cloud avec leurs identifiants Windows Active Directory.
Synchronisez automatiquement les mots de passe et les modifications de comptes des utilisateurs Windows Active Directory sur plusieurs systèmes, tels que Microsoft 365, Google Workspace, IBM iSeries, etc.
Activez l’authentification multifacteur (MFA) contextuelle avec 20 méthodes d’authentification différentes pour les connexions aux terminaux, aux applications, aux VPN, à OWA et à RDP.
Informez les utilisateurs Windows Active Directory de l’expiration prochaine de leur mot de passe ou de leur compte par e-mail et SMS.
Les mots de passe robustes résistent à diverses menaces de piratage. Obligez les utilisateurs Windows Active Directory à utiliser des mots de passe conformes en affichant les exigences de complexité.