Vulnérabilité de l’authentification à deux facteurs dans des plug-ins WordPress

La société Duo Security, spécialisée dans l'offre de solutions d'authentification à deux facteurs hébergées, a reconnu à la fin de la semaine dernière qu'elle avait découvert une vulnérabilité dans son plug-in WordPress (plug-in duo_wordpress) qui permettait à un utilisateur de contourner l'authentification à deux facteurs sur un réseau multisite.

Jon Oberheide, un des fondateurs de Duo, a bien précisé la semaine dernière que le problème touchait uniquement les utilisateurs qui possédaient des configurations WordPress multisite dans le cadre desquelles un site utilisait l'authentification à deux facteurs. Les utilisateurs qui déploient le plug-in globalement sur leurs sites (et qui l'activent globalement) ne courent aucun risque.

Quand un utilisateur a configuré l'authentification à deux facteurs sur un site, il doit fournir des informations d'identification primaires (un nom d'utilisateur et un mot de passe) ainsi que les informations du deuxième facteur. Mais s'il existe un autre site dans ce réseau multisite, unutilisateur du premier site peut accéder au second et il devra uniquement saisir les informations d'identification primaires. S'il possède ces informations, il sera autorisé, puis rediriger vers le premier site sans passer par l'authentification à deux facteurs. Le système est totalement contourné.

Jon Oberheide a décrit l'impact de la vulnérabilité dans une liste à puces publiée dans un billet de son blog la semaine dernière afin de rectifier les informations erronées, d'après lui, qui circulaient.

  • Seuls les déploiements "multisites" de WordPress qui ont opté pour le déploiement du plug-in sur un site individuel sont touchés.
  • Les déploiements normaux de WordPress ou les déploiements multisites où le plug-in est activé globalement NE SONT PAS touchés.
  • L'utilisateur doit toujours saisir les informations d'identification primaires correctes (par exemple, le nom d'utilisateur et le mot de passe) ; ce n'est que le deuxième facteur qui est contourné.

Duo a découvert la vulnérabilité et l'a confirmé en interne au début du mois avant de diffuser une notice d'avertissement à ce sujet la semaine dernière. Pour l'instant, les versions 1.8.1 et antérieures sont touchées.

Jon Oberheide indique que Duo travaille sur une correction définitive et coopère avec WordPress. Il laisse toutefois penser qu'il faudra introduire "une modification essentielle" dans la manière dont la plateforme traite les plug-ins pour résoudre le problème.

Le problème n'existe pas uniquement dans les plug-ins de Duo. On le retrouve également dans les plug-ins d'autres fournisseurs de solutions d'authentification à deux facteurs. Jon Oberheide et la société ont informés les éditeurs concernés et bon nombre d'entre eux, dont Duo, développent des correctifs.

En attendant, Duo encourage les utilisateurs qui ont déployé duo wordpress dans des configurations multisites à activer le plug-in globalement, puis à le désactiver pour certains rôles particuliers jusqu'à ce que le correctif soit diffusé. Les utilisateurs qui utilisent un autre plug-in WordPress d'authentification à deux facteurs sont invités à se renseigner pour savoir si l'éditeur prévoit un correctif.

http://threatpost.com/two-factor-authentication-vulnerability-identified-in-wordpress-plugins/104356

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *