Cette vulnérabilité aurait pu laisser fuiter des informations de sécurité sensibles sur les entreprises-clientes de Mend.io.
Communiqué – Aujourd’hui, WithSecure™ (anciennement F-Secure Business) a publié un bulletin de sécurité signalant une vulnérabilité identifiée sur la plateforme de sécurisation des applications Mend.io.
La plateforme Mend.io aide les développeurs de logiciels à identifier et à corriger les vulnérabilités et problèmes de sécurité trouvés dans les bibliothèques de code.
D’après son site officiel, Mend.io compte plus de 1 000 clients, dont 25 % sont des entreprises du classement Fortune 100. Les experts de WithSecure™ ont identifié un problème avec l’option de connexion SAML (Security Assertion Markup Language) de Mend.io. Cette méthode d’authentification Single Sign-On permet aux utilisateurs d’accéder à plusieurs services en ligne avec les mêmes identifiants.
En exploitant cette vulnérabilité, un client de Mend.io aux intentions malveillantes aurait pu utiliser cette implémentation SAML vulnérable pour accéder aux données d’autres clients Mend.io opérant sur le même environnement SaaS (software-as-a-service). Cette attaque était possible en devinant ou en obtenant une adresse e-mail valide d’une organisation ciblée. Il reste toutefois important de noter que Mend.io possède de nombreux environnements SaaS, et que de nombreux clients opèrent dans des environnements isolés.
Les données conservées sur les comptes Mend.io varient d’une entreprise à l’autre. Pour autant, les hackers risquaient d’accéder à des informations sensibles permettant d’identifier les logiciels vulnérables des entreprises utilisatrices. Ils auraient pu ensuite mener des attaques ciblées sur ces logiciels.
« Pour faire simple, le service d’authentification unique aurait accepté l’adresse e-mail de n’importe quel client légitime sans aucune authentification supplémentaire. Le hacker n’avait qu’à créer un compte Mend.io dans un environnement SaaS spécifique, le configurer pour qu’il accepte la méthode d’authentification par signature single sign-on, puis utiliser une adresse e-mai correspondant au compte de l’entreprise cible. Toutes ces étapes sont à la portée des cybercriminels d’aujourd’hui », explique Ari Inki, Chief Architect chez WithSecure™.
WithSecure™ a contacté Mend.io pour lui faire part de ses inquiétudes en mai 2023. Mend.io a répondu rapidement pour confirmer les conclusions de WithSecure, et les deux entreprises ont élaboré un correctif, désormais implémenté sur la plateforme.
« La sécurisation des données de nos clients est pour nous essentielle. Nous sommes heureux que l’entreprise WithSecure ait été proactive : elle nous a aidé à identifier cette vulnérabilité et à la corriger. En travaillant ensemble, nous avons pu agir rapidement, avant que cette vulnérabilité ne soit utilisée par des hackers pour cibler nos clients », déclare Robert Nilsson, Executive Vice President of Customer Experience chez Mend.io.