...
- Cette vulnérabilité affecte l'ensemble des versions esup-otp-api depuis Août 2019 : version 2.0.0 et supérieures.
Description
le module papercut logiciel utilisé pour permettre à l'utilisateur de recréditer son compteur Papercut via un paiement Paybox ou/et IzlyPay
permet de ne pas avoir besoin de payer ni même s'authentifier pour créditer un compte dans papercut via une faille d'esup-papercut.Cette faille exploite la possibilité de paiement via izlypay.
esup-papercut ne sécurise pas son mécanisme de callback en /izlypaycallback qui ne devrait être appelé que par les serveurs izly
Complexité d'exploitation
Relativement faible, une commande curl permet de procéder au créditd'accepter la demande de MFA.
Conditions préalables
Il faut connaître l'URL d'esup-papercut, le nom d'un contexte, le login à créditer et le préfixe des numéros de commandes lié au contexte
Solutions
Mise à jour d'esup-
...
otp-api
Les administrateurs système sont encouragés à mettre à jour esup-otp-papercut api vers la version 2.12.0 3 ou ultérieure qui corrige ce problème.
Cf https://github.com/EsupPortail/esup-papercut
Interdiction des URL en /izlypaycallback
Si vous ne pouvez pas mettre à jour votre esup-papercut et que vous n'utilisez pas izlypay, vous pouvez interdire les URL en /izlypaycallback au niveau de votre frontal ; une solution simple est de bloquer toutes les URL contenant izlypaycallback par exemple sous Apache :
| Bloc de code |
|---|
RewriteEngine On
RewriteRule izlypaycallback - [F,L] |
Applications concernées
esup-papercut version 2.0.0 et supérieur otp-api jusqu'à 2.1.0, même si izlypay n'est pas mis en œuvre par l'établissement2.3.
Analyse des logs
Une analyse des logs d'accès peut permettre de déterminer si la faille a été exploitée : tout POST avec réponse en 200 sur une url finissant en /izlypaycallback et dont l'IP ne correspond pas à un serveur izly (crous) est à considérer comme illégitime.
...