Ces informations ne sont pas destinées à être partagées à des pirates mais bien de faire prendre conscience de la nécessité d'une politique globale en faveur d'une sécurité transparente. Je ne serais pas responsable de toutes mauvaises utilisations de ces informations dans le cas où l'entreprise n'a pas pris au sérieux mon alerte.


J'avais reporté initialement des failles concernant UDI quand je me suis rendu compte qu'ils utilisaient aussi Immo-One, c'est alors que je me suis amusé à vérifier toute la structure.

Pour commencer, ils ont des serveurs qui ont des mirroirs de tous les sites de leurs clients, des genre de back-end mais accessibles publiquement. Le soucis étant que ça facilite clairement le référencement puis l'exploitation automatisée de leurs clients.

Pour ce qui est de ces serveurs, leur empreinte web est : srvlinux*.technolog.fr avec * qui est un chiffre. Pour le coup, je vais vous donner les détails d'exploitation du coup via ces serveurs :

  • Web : Apache 2.4.10
  • Back-End DBMS : Microsoft SQL Server 2008
  • OS : Linux Ubuntu 14.10 or 15.04
  • Back-End OS : Windows 2008 R2 or 7
  • Utilisateur : 003960-1
  • Nom de la BDD : IMMOONE_REP_2018_2
  • URL testé : http://srvlinux3.technolog.fr/udi/agences/003960/index.php?numpage=&tri=bisurface+asc&op=results&nouveaux=1
  • Paramètre vulnérable : tri
  • Admin : Non

Et j'ai encore testé UDI et si vous regardez mieux, vous verrez qu'en fait 003960 est un genre de numéro client qui est aussi dans le nom d'utilisateur de la BDD. Avec cette seule faille, qui est la même partout, vous pouvez mettre à plat leur infra.

Mais ce n'est pas tout, leurs clients sont aussi vulnérables sur tout ou partie des paramètres suivants :

  • typop
  • ville
  • agence

Je ne dirais pas que leur infra est un gruyère mais pas loin. Je n'ai pas tout testé et pourtant j'ai trouvé des tonnes de méthodes pour exploiter tout cela. J'espère pour eux qu'aucun pirate n'est passé par là sinon il a dû se faire super plaisir.


Juste pour la forme, je ne suis responsable d'aucune utilisation mal intentionnée de ces informations.

Article Suivant Article Précédent