LDAP Injector

L'injection LDAP est une vulnérabilité critique d'application web qui cible les systèmes utilisant le Lightweight Directory Access Protocol pour l'authentification et la récupération de données. Similaire en concept à l'injection SQL, l'injection LDAP survient lorsque les entrées fournies par l'utilisateur sont incorporées dans les requêtes LDAP sans sanitisation appropriée, permettant aux attaquants de modifier la logique de la requête et de contourner l'authentification ou d'extraire des informations non autorisées des services d'annuaire.

Qu'est-ce que LDAP et pourquoi est-il ciblé ?

LDAP est un protocole utilisé pour accéder et gérer les services d'information d'annuaire, le plus couramment Microsoft Active Directory. Les organisations utilisent LDAP pour l'authentification centralisée, les annuaires d'employés, les carnets d'adresses email et la gestion du contrôle d'accès. Parce que LDAP sert souvent de colonne vertébrale d'authentification pour les réseaux d'entreprise, une vulnérabilité d'injection LDAP peut fournir aux attaquants un accès étendu aux systèmes d'entreprise et aux données sensibles des employés.

Comment fonctionnent les attaques par injection LDAP

Les requêtes LDAP utilisent une syntaxe de filtre spécifique pour rechercher les entrées d'annuaire. Une requête d'authentification typique pourrait ressembler à (&(uid=username)(password=secret)). Lorsqu'une application construit cette requête en concaténant directement les entrées utilisateur, un attaquant peut injecter des caractères spéciaux - en particulier des parenthèses, des esperluettes, des barres verticales et des astérisques - pour altérer la logique de la requête. En injectant *)(uid=*))(|(uid=* ou des charges utiles similaires, les attaquants peuvent contourner les vérifications de mot de passe, énumérer les entrées d'annuaire ou extraire les valeurs d'attributs.

Scénarios courants d'injection LDAP

Le scénario le plus fréquemment exploité implique le contournement d'authentification, où les caractères injectés font que la requête LDAP retourne un résultat valide indépendamment du mot de passe fourni. D'autres scénarios d'attaque incluent l'exfiltration de données par injection LDAP aveugle (déduire des informations des réponses de l'application), l'énumération des comptes utilisateur et des appartenances aux groupes, et la découverte de la structure du réseau interne par traversée d'annuaire. Ces attaques sont particulièrement dangereuses dans les environnements d'entreprise où LDAP contrôle l'accès à de multiples systèmes interconnectés.

Prévention et atténuation

La défense contre l'injection LDAP nécessite la validation des entrées et l'échappement approprié des caractères spéciaux LDAP avant d'incorporer les entrées utilisateur dans les requêtes. Les applications devraient utiliser des requêtes LDAP paramétrées lorsque disponibles, implémenter un accès à moindre privilège pour les comptes de service LDAP, et déployer une surveillance pour détecter les schémas de requêtes inhabituels. Comprendre les techniques d'injection LDAP aide les équipes de sécurité à identifier et remédier ces vulnérabilités avant que les attaquants ne les exploitent en environnement de production.