Symposium sur la sécurité des technologies de l'information et des communications

Conférence francophone sur le thème de la sécurité de l'information.
Elle a eu lieu à Rennes du 3 au 5 juin 2020.

Finding vBulletin 0-days through poor man's symbolic executionCharles Fol


Date : 05 juin 2020 à 09:45 — 15 min.

vBulletin a fait les gros titres l'année dernière: un "bugdoor" pré-authentification permettant d'exécuter du code avait été découvert; il était présent depuis au moins 3 ans. Impossible alors de ne pas croire en l'existence d'autres vulnérabilités dans le "logiciel communautaire leader [du marché]".

La solution a donc été auditée, et de nombreuses failles critiques ont été découvertes.

Cette présentation décrit la méthode utilisée pour vérifier la sécurité des requêtes SQL, sujet massif (plusieurs centaines de requêtes dynamiques) et ténu du logiciel (10 CVEs en 12 ans), en explorant automatiquement les différentes ramifications permettant de contrôler partiellement des requêtes SQL.

Cette méthode "simpliste" a permis de découvrir un candidat, et finalement d'exécuter de code, sans authentification.