Blog

La vulnérabilité cdnjs de 2021 en détail

Vérifier que vos sources de scripts tiers sont fiables est important. Mais cela seul peut ne pas suffire. C'est ce que le monde a appris en 2021, lorsqu'une vulnérabilité majeure dans le cdnjs de Cloudflare a été signalée. Voici le récapitulatif de ce qui s'est passé et comment. Cdnjs est l'un des réseaux de diffusion de contenu (CDN) JavaScript les plus utilisés aujourd'hui. Plus de 12 % de tous les sites web sur internet injectent au moins un script via cdnjs. Un chercheur utilisant le pseudonyme 'RyotaK' a partagé une vulnérabilité de chaîne d'approvisionnement dans cdnjs, permettant à n'importe qui sur internet d'apporter des modifications aux bibliothèques cdnjs en suivant une séquence d'étapes spécifiques.

Apr 28, 2024 • 4 min read

Simon Wijckmans Founder & CEO

Image de couverture de la vulnérabilité cdnjs de 2021 en détail

Vérifier que vos sources de scripts tiers sont fiables est important. Mais cela seul peut ne pas suffire.

C'est ce que le monde a appris en 2021, lorsqu'une vulnérabilité majeure dans le cdnjs de Cloudflare a été signalée. Voici le récapitulatif de ce qui s'est passé et comment.

Cdnjs est l'un des réseaux de diffusion de contenu (CDN) JavaScript les plus utilisés aujourd'hui. Plus de 12 % de tous les sites web sur internet injectent au moins un script via cdnjs. Un chercheur utilisant le pseudonyme « RyotaK » a partagé une vulnérabilité de chaîne d'approvisionnement dans cdnjs, permettant à n'importe qui sur internet d'apporter des modifications aux bibliothèques cdnjs en suivant une séquence d'étapes spécifiques. Voici l'intégralité de ses conclusions.

La vulnérabilité existait au sein du serveur de mise à jour des bibliothèques cdnjs. Ce module spécifique aide les développeurs à intégrer en toute sécurité des packages populaires dans leurs sites.

La vulnérabilité en détail

En publiant un fichier .tgz dans le registre npm avec un nom de fichier conçu pour exploiter cette faille de traversée de chemin, un attaquant pouvait amener le serveur de mise à jour des bibliothèques cdnjs à traiter le fichier malveillant. Cela aurait écrasé un fichier de script exécuté régulièrement, entraînant une exécution de commandes arbitraires sur les serveurs de Cloudflare.

Pour prouver l'exploitabilité, une démonstration a été planifiée. Elle consistait à créer un fichier .tgz qui, lors de son traitement par le mécanisme de mise à jour de cdnjs, écraserait un script anodin avec du code malveillant. Cependant, avant d'exécuter ce plan, le chercheur a découvert un autre vecteur d'attaque puissant via les mises à jour de dépôts Git, impliquant des liens symboliques susceptibles de lire des fichiers arbitraires depuis le serveur de mise à jour.

Une erreur involontaire dans le processus de démonstration a conduit à une révélation importante. Un lien symbolique censé pointer vers un fichier inoffensif a été dirigé par erreur vers /proc/self/environ, exposant des variables d'environnement sensibles, notamment GITHUB_REPO_API_KEY et WORKERS_KV_API_TOKEN. Cette erreur a mis en évidence comment un attaquant pouvait accéder à la majeure partie de l'infrastructure cdnjs, représentant un risque de sécurité considérable.

Les risques potentiels

Cela aurait pu entraîner une exécution de code à distance sur les serveurs de Cloudflare et la possibilité d'injecter du code malveillant dans les scripts utilisés par tous les utilisateurs finaux. Cela contourne les pare-feux applicatifs web (WAF) et tout autre mécanisme de filtrage, puisque le code s'exécute directement dans le navigateur.

Comme mentionné précédemment, cela aurait exposé plus de 12 % des sites web et l'ensemble de leurs visiteurs à un danger immédiat si la faille avait été exploitée (une fois les caches expirés).

Cloudflare a réagi rapidement et a pris les mesures appropriées avant que quiconque ne puisse exploiter la faille. Ils sont reconnus pour leurs post-mortems détaillés et très transparents ainsi que leurs divulgations d'incidents. L'intégralité des détails peut être consultée ici.

La meilleure approche

Tout cela démontre qu'on ne peut pas simplement faire confiance aux sources.

Même les meilleurs au monde sont sujets aux erreurs. Une approche plus sûre et plus sécurisée consiste à vérifier ce que ces sources délivrent.

C'est pourquoi cside existe. Nous proposons un petit script à ajouter à une page web, qui fait 2 choses :

Réécrire les sources des scripts pour les faire transiter par cside. cside s'insère ainsi dans le flux de la requête entre l'utilisateur et le script tiers, permettant une visibilité totale sur les scripts servis. Nous ne nous contentons pas de mettre des sources sur liste blanche, mais nous analysons en profondeur chaque script, pour 100 % des sessions. Dans certains cas, des optimisations peuvent même être réalisées grâce à la mise en cache des scripts statiques.
Effectuer des vérifications comportementales côté navigateur.

cside surveille également plus de 60 attributs et utilise l'IA pour signaler en temps réel tout indicateur d'intention malveillante. Notre solution prend en compte le contexte historique, ce qui signifie que les changements dans le temps sont pris en considération, facilitant ainsi la détection des détournements. De plus, cside utilise l'IA pour analyser le code des scripts tiers. La combinaison de nos mécanismes de détection en constante évolution nous permet de repérer la tentative en quelques millisecondes et de la bloquer avant toute opération malveillante, ou d'alerter si un comportement dangereux se manifeste.

Commencez avec cside dès aujourd'hui.

Founder & CEO Simon Wijckmans

Founder and CEO of cside. Previously a product manager on Cloudflare Page Shield (now Cloudflare Client-Side Security). Co-chair of the W3C Anti-Fraud Community Group and a Forbes 30 Under 30 honoree. Building accessible security against client-side attacks — web security is not an enterprise-only problem.

Don't just take our word for it, ask AI

Surveillez et sécurisez vos scripts tiers

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Réserver une démonstration

Commencez gratuitement

Commencez gratuitement, ou essayez Business avec un essai de 14 jours.

cside Interface du tableau de bord affichant la surveillance des scripts et les analyses de sécurité

Couverture sombre du blog cside avec une vague de pixels bleus et une liste sur les pixels non autorisés dans les jeux et la responsabilité RGPD

GDPR et jeux d'argent en ligne : pourquoi les pixels non autorisés créent un problème de double responsabilité

Les pixels non autorisés sur les sites de jeux d'argent créent une responsabilité GDPR et des suspensions de comptes publicitaires à la fois.

Comment Bloquer Bytespider (le Crawler IA de TikTok)

Bytespider explore votre site pour les systèmes IA de Bytedance. Découvrez comment le bloquer via robots.txt et plages d'IP, et les enjeux de souveraineté des données.

Couverture sombre du blog montrant trois méthodes d'attaque de scripts malveillants : redirections déclenchées depuis le navigateur, containers GTM fantômes avec tags malveillants et payloads mobiles géociblés

Comment les scripts malveillants détournent les parcours des joueurs de casino

Des scripts injectés redirigent les joueurs de casino avant le lobby. Les outils réseau ne les voient pas. Voici comment la détection doit fonctionner.

Couverture sombre du blog cside avec une vague de pixels bleus et une liste sur la sécurité des scripts pour les opérateurs de jeux en APAC

Sécurité des scripts côté client pour les opérateurs de jeux d'argent en ligne en APAC

Comment les opérateurs de jeux d'argent APAC (Japon, Singapour, Philippines, Australie) surveillent les scripts tiers sur des sessions réelles.

Comment Bloquer Amazon Buy for Me sur Votre Site Web

Amazon Buy for Me fait ses achats sur votre site pour les membres Prime. Découvrez comment il collecte vos données de prix et de produits et comment la détection au niveau du navigateur vous redonne le contrôle.

Prévention des prises de contrôle de compte : le guide complet 2026

Le guide opérationnel ATO 2026 : un modèle de bout en bout pour défendre connexion, récupération, session et post-authentification contre les prises de contrôle pilotées par agents IA et bots.

Couverture sombre du blog cside avec une vague de pixels bleus et une liste sur les scripts affiliés compromis qui volent les revenus des casinos

Comment les scripts d'affiliation compromis volent les revenus des casinos en ligne

Les scripts d'affiliation compromis redirigent joueurs et volent commissions sur les pages de casino, silencieusement et à grande échelle.

Couverture sombre du blog montrant trois vecteurs d'attaque par extension de navigateur : redirections vers des clones de phishing, vol de token de session et réécriture des champs de paiement dans le DOM

Comment les extensions de navigateur attaquent les joueurs de casino en ligne : ce que les opérateurs peuvent faire

Les extensions de navigateur volent des tokens de session et détournent des paiements sur des sites de casino. Voici comment les détecter.

Comment Bloquer la Création de Faux Comptes Alimentée par l'IA

Les agents IA créent de faux comptes avec un comportement humain qui déjoue les CAPTCHA. Découvrez les signaux navigateur qui révèlent les inscriptions automatisées.

Comment Bloquer CCBot (le Robot d'Indexation IA de Common Crawl)

CCBot alimente les jeux de données Common Crawl utilisés pour entraîner GPT-3, BLOOM, LLaMA et bien d'autres modèles d'IA. Découvrez comment le bloquer et ce que le blocage fait réellement.