Une vulnérabilité critique permettant l’exécution de code arbitraire à distance a été rapportée à PayPal et corrigée en urgence. Elle aurait pu permettre à un attaquant de compromettre un ou des serveurs de l’organisme de paiement en ligne.
La faille de sécurité permettant une potentielle exécution de code à distance sur PayPal a été découverte par un chercheur en sécurité indépendant, Milan A Solanki, et a de suite été jugée critique par Vulnerability Lab avec un niveau CVSS de 9,3 sur 10.
La vulnérabilité réside dans le protocole de service en ligne Java Debug Wire Protocol (JDWP) de PayPal. Une exploitation réussie de la vulnérabilité pourrait entraîner une exécution non autorisée de codes spécifiques sur le système ciblé afin de compromettre complètement le serveur Web de la société, sans privilège ni interaction avec l’utilisateur.
JDWP est un protocole utilisé pour la communication entre un débogueur et la machine virtuelle Java. Il est une couche de Java Platform Debugger Architecture.
Cependant, JDWP pourrait être exploité par les pirates pour exécuter du code arbitraire à distance sur le serveur Web concerné. Solanki a également fourni une vidéo de proof-of-concept (PoC) visant à démontrer l’exploitation en direct. Il a utilisé l’outil jdwp-shellifier disponible sur Github pour scanner les sites liés au réseau PayPal et découvrir un serveur Web ayant le port 8000 ouvert.
Le port 8000 lui a permis d’établir une connexion au service sans authentification, ce qui a rendu possible l’exécution de code sur serveur avec les privilèges root. Solanki a signalé la vulnérabilité à l’équipe de développement Paypal, et sans attendre, l’équipe a fixé la faille dans les quatre jours après avoir reçu les détails fournis par le chercheur en sécurité. Tout se fini donc bien dans ce cas.
Paypal ou la solution miracle pour certains !
Les commentaires sont fermés.