Keynote SSTIC 2009 – Macaron, une porte dérobée pour toutes les applications JavaEE

Présentation : Philippe PRADOS

Peu utilisé par les hackers, mais une possibilité importante pour les attaques internes (développeurs peu scrupuleux).
La backdoor s’installe de manière très simple, sans modification de code, en ajoutant une simple archive, considérée comme saine, à l’application web, la backdoor est mise en place, sans avertissement.

Une fois déclenchée (entrée utilisateur spécifique par exemple) toute l’application est corrompue, et potentiellement tout ce qui y est reliué (bases de données, serveur, etc, et en fonction des droits, l’accès à l’OS).

Le canal est caché au travers par  exemple du champ utilisé pour déclencher la backdoor, évitant ainsi les pages étranges ou liens détectables.

La backdoor présentée a pour but de qualifier une application web face a cette menace, elle est disponible et très verbeuse.

Des contremesures existent, les droits Java, les modes de sécurité limitant les droits etc. Mais rarement utilisés (juste au cas ou l’application ne le supporte pas…)
Et effectivement, dans la vraie vie, la mise en place des droits est assez fastidieuse, et les développeurs préfèrent souvent un « allow for all » « parceque ça marche bien comme ça ».

Des patchs ont été transmis à SUN, qui travaille actuellement sur ces vulnérabilités.

Au final, on voit bien la puissance de la backdoor développée, surtout qu’elle trouve toute seule la meilleure façon de s’introduire dans le système, et les risques inhérents aux technologies des applications web, souvent obscures, et maitrisées par leurs développeurs seuls..