Passer au contenu principal

CVSS 9.6 au Sénat de Roumanie

Stefan-Lucian Deleanu

CVSS 9.6 au Sénat de Roumanie
Photo par Amir Alsharif / Unsplash

Au fil des ans, nous avons signalé des dizaines de vulnérabilités critiques à diverses institutions publiques en Roumanie. Bien que la plupart aient été résolues rapidement, certaines ont persisté pendant des mois (voire plus d'un an) ou ont réapparu en raison de l'approche déficiente des fonctionnaires.

Une des plus graves a été récemment identifiée au Sénat de Roumanie : une vulnérabilité de Exécution de code à distance (RCE) générée par la configuration déficiente du système d'opinions législatives.

Que signifie CVSS 9.6 ?

Le CVSS (Système de notation des vulnérabilités communes) est la norme internationale pour évaluer la gravité des vulnérabilités. L'échelle va de 0 à 10.

  • 0,0 - 3,9 : Faible
  • 4,0 - 6,9 : Moyen
  • 7,0 - 8,9 : Élevé
  • 9,0 - 10,0 : Critique

Un score de 9,6 signifie qu'un attaquant peut prendre le contrôle total du serveur, sans authentification, à distance, avec un effort minimal.

En pratique, un attaquant pourrait modifier tout ce qui concerne le site web 'senat.ro', ou ce qui est accessible par l'utilisateur web qui y navigue.

Bien que nous ne connaissions pas le niveau réel du risque auquel le Sénat roumain a été exposé, car une telle analyse approfondie aurait nécessité de violer la loi, il est presque certain que si quelqu'un avait exploité cette vulnérabilité pour obtenir la permanence, elle aurait pu être utilisée pour déstabiliser l'État roumain par une attaque concertée et parallèle.

Imaginez si, en même temps, 10 à 20 institutions critiques cessaient de fonctionner, avec un message/manifeste terroriste affiché sur la page d'accueil dans le but de déstabiliser l'économie du pays.

Malheureusement, nous sommes dans cette situation, et notre chance dépend uniquement du fait que les tensions au nord restent tolérables et que nous ne sommes pas la cible principale dans le monde des cyberattaques.

Ce que nous avons découvert :

La plateforme du Sénat permet l'envoi d'avis publics sur les projets de loi, y compris des pièces jointes. Le formulaire de téléchargement ne valide pas les types de fichiers téléchargés.

J'ai testé de cette manière :

  1. J'ai accédé au formulaire public d'opinions
  2. J'ai rempli mes informations réelles, y compris le motif de manière aussi transparente que possible : "Test de suspicion de problème de configuration du serveur web", qui était visible pour l'opérateur de la page (l'agent qui approuve les avis).
  3. J'ai téléchargé un fichier .aspx (cod executabil pe serverele Windows/IIS)
  4. Un fonctionnaire public a approuvé l'avis avec l'annexe exécutoire et m'a donné un numéro d'enregistrement, qui est maintenant accessible. Ici
  5. En accédant à la page d'avis, le fichier .aspx le fichier s'exécute directement sur le serveur, qui était un utilitaire de téléchargement. Le fichier a été supprimé entre-temps.

Le serveur IIS du Sénat exécutait tout code .NET téléchargé par les utilisateurs. Sans validation. Sans sandbox. Directement en production.

Impact potentiel :

Avec cette vulnérabilité, un acteur malveillant pourrait :

  • Télécharger un shell web et obtenez un accès complet au serveur
  • Exfiltrer les bases de données législatives / les documents du Sénat.
  • Installe rançongiciel l'infrastructure du Sénat
  • Utilisez le serveur comme pivot pour des attaques ultérieures dans le réseau de l'institution, en l'utilisant comme proxy.
  • Modifiez le contenu du site officiel du Sénat.
  • Utilise le serveur dans diverses attaques complexes, dans le but de réduire la crédibilité des autorités publiques.

Nous discutons de institution démocratique fondamentaleUne attaque réussie aurait pu générer un vide de confiance dans les institutions de l'État, surtout si elle avait été réalisée avec cette intention par un acteur étatique.

Malheureusement, dans le cas des cyberattaques, il est très difficile d'identifier l'acteur derrière les actions, ce qui augmente le danger et rend même les acteurs individuels plus "prudents" difficiles à sanctionner, les décourageant ainsi d'adopter des comportements malveillants.

Il est donc nécessaire d'adopter une approche proactive du côté de l'équipe bleue (défensive).

Chronologie :

  • 24.11.2025Le chargement de l'utilitaire et la transmission de l'avis.
  • 25.11.2025Approbation de chargement, identification de vulnérabilité par mes soins, rapport immédiat à la DNSC et CYBERINT (SRI)
  • 26.11.2025 (~2h du matin)La vulnérabilité principale a été corrigée en quelques heures
  • PrésentMon fichier de test (amCharts.png) încă există pe server, dovadă că remedierea a fost superficială

Fichier encore accessible : https://www.senat.ro/uploads/amCharts.png

Si archivé :

Machine à remonter le temps

Quand cela sera-t-il effacé ?

Pourquoi ces problèmes persistent-ils ?

DNSC et SRI n'ont pas la compétence légale ils ne peuvent pas intervenir directement dans les systèmes des institutions. Ils peuvent seulement donner des instructions aux équipes informatiques locales, qui font de leur mieux, savent et veulent agir. En général, le minimum nécessaire, étant indifférents aux risques engendrés.

Ce que je peux et sais, et ce qu'ils veulent se voit : ils ont corrigé l'exécution du code, mais n'ont pas vérifié quels fichiers restent sur le serveur.

La solution est législative :

  1. Auditeurs de la sécurité informatique Ils doivent répondre pénalement de la qualité des vérifications : négligence dans l'exercice de leurs fonctions ou faux intellectuel s'ils signent des audits incomplets, en tant que fonctionnaires assimilés.
  2. DNSC Il est nécessaire de disposer de compétences étendues pour une intervention directe sur les infrastructures critiques, au moins en cas d'urgence, notamment en ce qui concerne les institutions publiques critiques. Pour protéger l'autonomie des institutions assistées, cet accès doit impérativement être journalisé.
  3. Normes techniques doivent être imposées obligatoirement pour tout système informatique des institutions publiques.
  4. À court terme, développer des mécanismes passifs, à installation rapide, qui peuvent être mis à la disposition des institutions publiques pour filtrer automatiquement les dangers (ex : WAF).

Trilemme :

Soit nous donnons plus de pouvoir aux services de renseignement (et cela ne plaît pas à tout le monde), soit nous nous responsabilisons institutionnellement, soit nous attendons de rester sans électricité ou sans eau potable lorsque qu'un acteur étatique ou un adolescent ennuyé découvre la prochaine faille.

Nous choisissons, ou la réalité choisit pour nous, malheureusement.