وجد الباحثون أن عيوب واجهة برمجة التطبيقات في سوق Lego عبر الإنترنت المستخدم على نطاق واسع قد سمحت للمهاجمين بالاستيلاء على حسابات المستخدمين ، وتسريب البيانات الحساسة المخزنة على النظام الأساسي ، وحتى الوصول إلى بيانات الإنتاج الداخلية لتعريض خدمات الشركات للخطر.
اكتشف باحثون من Salt Labs نقاط الضعف في بريكلينك، وهي عبارة عن منصة رقمية لإعادة البيع مملوكة لشركة مجموعة Lego لشراء وبيع Legos المستعملة ، مما يدل على أنه - من الناحية التكنولوجية ، على أي حال - ليست كل قطع ألعاب الشركة تستقر في مكانها بشكل مثالي.
اكتشف ذراع البحث في Salt Security كلتا الثغرات الأمنية من خلال التحقيق في مناطق الموقع التي تدعم حقول إدخال المستخدم ، كما كشف Shiran Yodev ، الباحث الأمني في Salts Labs ، في تقرير نُشر في 15 ديسمبر.
وجد الباحثون كل من العيوب الأساسية التي يمكن استغلالها للهجوم في أجزاء من الموقع تسمح بإدخال المستخدم ، والذي قالوا إنه غالبًا ما يكون مكانًا فيه مشكلات أمان واجهة برمجة التطبيقات - مشكلة معقدة ومكلفة للمنظمات - تنشأ.
وقالوا إن أحد العيوب هو ثغرة في البرمجة النصية عبر المواقع (XSS) التي مكنتهم من حقن وتنفيذ التعليمات البرمجية على جهاز المستخدم النهائي الضحية من خلال رابط مصنوع. الآخر المسموح به لتنفيذ هجوم حقن XML الخارجية (XXE) ، حيث تتم معالجة مدخلات XML التي تحتوي على مرجع إلى كيان خارجي بواسطة محلل XML ضعيف التكوين.
نقاط ضعف API كثيرة
كان الباحثون حريصين على التأكيد على أنهم لم ينووا تمييز Lego كمزود تقني مهمل بشكل خاص - على العكس من ذلك ، فإن عيوب واجهة برمجة التطبيقات في التطبيقات التي تواجه الإنترنت شائعة بشكل لا يصدق ، كما قالوا.
يقول يوديف إن هناك سببًا رئيسيًا لذلك: بغض النظر عن كفاءة فريق تصميم وتطوير تكنولوجيا المعلومات ، أمن API هو نظام جديد لا يزال جميع مطوري ومصممي الويب يكتشفونه.
يقول: "نجد بسهولة هذه الأنواع من الثغرات الخطيرة في واجهات برمجة التطبيقات في جميع أنواع الخدمات عبر الإنترنت التي نحقق فيها". "حتى الشركات التي تمتلك أقوى أدوات أمان التطبيقات وفرق الأمان المتقدمة غالبًا ما يكون لديها ثغرات في منطق أعمال API الخاص بهم."
وبينما كان من الممكن اكتشاف العيبين بسهولة من خلال اختبار أمان ما قبل الإنتاج ، "لا يزال أمان واجهة برمجة التطبيقات فكرة متأخرة للعديد من المؤسسات" ، كما يشير سكوت غيرلاش ، الشريك المؤسس والمدير التنفيذي للمؤسسات في StackHawk ، موفر اختبار أمان واجهة برمجة التطبيقات.
"عادةً لا يتم تفعيلها إلا بعد نشر واجهة برمجة التطبيقات بالفعل ، أو في حالات أخرى ، تستخدم المؤسسات أدوات قديمة لم يتم إنشاؤها لاختبار واجهات برمجة التطبيقات تمامًا ، مما يترك نقاط الضعف مثل البرمجة النصية عبر المواقع وهجمات الحقن غير مكتشفة ،" كما يقول .
الاهتمام الشخصي ، الاستجابة السريعة
لم يكن الهدف من البحث الذي أجري للتحقيق في BrickLink من شركة Lego إلحاق العار وإلقاء اللوم على Lego أو "جعل أي شخص يبدو سيئًا" ، ولكنه يهدف بدلاً من ذلك إلى إظهار "مدى شيوع هذه الأخطاء وتثقيف الشركات بشأن الخطوات التي يمكن اتخاذها لحماية بياناتهم وخدماتهم الرئيسية" ، يودف يقول.
قال الباحثون إن مجموعة Lego هي أكبر شركة ألعاب في العالم وعلامة تجارية معروفة على نطاق واسع يمكنها بالفعل جذب انتباه الناس إلى هذه المشكلة. تحقق الشركة أرباحًا بمليارات الدولارات سنويًا ، ليس فقط بسبب اهتمام الأطفال باستخدام Legos ولكن أيضًا نتيجة لمجتمع هواة بالغين - يعترف Yodev بأنه واحد منهم - والذي يجمع أيضًا مجموعات Lego ويبنيها.
نظرًا لشعبية Legos ، تضم BrickLink أكثر من مليون عضو يستخدمون موقعها.
اكتشف الباحثون العيوب في 18 أكتوبر ، ولحسابها ، استجابت Lego بسرعة عندما كشفت Salt Security عن المشكلات للشركة في 23 أكتوبر ، مؤكدة الكشف في غضون يومين. قال الباحثون إن الاختبارات التي أجرتها شركة Salt Labs أكدت بعد فترة وجيزة ، في 10 نوفمبر ، أن المشكلات قد تم حلها.
"ومع ذلك ، نظرًا لسياسة Lego الداخلية ، لا يمكنهم مشاركة أي معلومات تتعلق بنقاط الضعف التي تم الإبلاغ عنها ، وبالتالي فإننا غير قادرين على التأكيد بشكل إيجابي" ، كما يقر Yodev. علاوة على ذلك ، تمنع هذه السياسة أيضًا شركة Salt Labs من تأكيد أو نفي ما إذا كان المهاجمون قد استغلوا أيًا من العيوب في البرية ، كما يقول.
قطع الثغرات معا
وجد الباحثون خطأ XSS في مربع الحوار "البحث عن اسم المستخدم" لوظيفة البحث في قسيمة BrickLinks ، مما أدى إلى سلسلة هجوم باستخدام معرف جلسة مكشوف على صفحة مختلفة ، على حد قولهم.
كتب يوديف: "في مربع الحوار" البحث عن اسم المستخدم "، يمكن للمستخدم كتابة نص حر ينتهي في النهاية إلى ملف HTML لصفحة الويب". "يمكن للمستخدمين إساءة استخدام هذا الحقل المفتوح لإدخال نص يمكن أن يؤدي إلى حالة XSS."
على الرغم من أن الباحثين لم يتمكنوا من استخدام الخلل من تلقاء أنفسهم لشن هجوم ، فقد اكتشفوا معرف جلسة مكشوف على صفحة مختلفة يمكن دمجها مع خطأ XSS لاختطاف جلسة المستخدم وتحقيق الاستيلاء على الحساب (ATO) ، كما أوضحوا .
كتب يوديف: "كان من الممكن أن يستخدم الفاعلون السيئون هذه التكتيكات للاستيلاء على الحساب بالكامل أو لسرقة بيانات المستخدم الحساسة".
كشف الباحثون عن الخلل الثاني في جزء آخر من النظام الأساسي الذي يتلقى مدخلات المستخدم المباشرة ، تسمى "التحميل إلى قائمة المطلوبين" ، والتي تسمح لمستخدمي BrickLink بتحميل قائمة بأجزاء و / أو مجموعات Lego المطلوبة بتنسيق XML ، على حد قولهم.
كانت الثغرة الأمنية موجودة بسبب كيفية استخدام محلل XML بالموقع للكيانات الخارجية لـ XML ، وهو جزء من معيار XML الذي يحدد مفهومًا يسمى كيانًا ، أو وحدة تخزين من نوع ما ، كما أوضح Yodev في المنشور. في حالة صفحة BrickLinks ، كان التنفيذ عرضة لظروف قد يكشف فيها معالج XML عن معلومات سرية لا يمكن الوصول إليها عادةً بواسطة التطبيق ، كما كتب.
استغل الباحثون الخلل لشن هجوم XXE الذي يسمح بقراءة ملف النظام بأذونات المستخدم قيد التشغيل. قال الباحثون إن هذا النوع من الهجوم يمكن أن يسمح أيضًا بنقل هجوم إضافي باستخدام تزوير الطلب من جانب الخادم ، والذي قد يمكّن المهاجم من الحصول على بيانات اعتماد لتطبيق يعمل على Amazon Web Services وبالتالي اختراق شبكة داخلية.
تجنب عيوب API المماثلة
شارك الباحثون بعض النصائح لمساعدة المؤسسات على تجنب إنشاء مشكلات API مماثلة يمكن استغلالها في التطبيقات التي تواجه الإنترنت في بيئاتها الخاصة.
كتب يوديف أنه في حالة ثغرات واجهة برمجة التطبيقات ، يمكن للمهاجمين إلحاق أكبر قدر من الضرر إذا قاموا بدمج الهجمات على قضايا مختلفة أو نفذوها في تتابع سريع ، وهو ما أظهره الباحثون في حالة عيوب Lego.
لتجنب السيناريو الذي تم إنشاؤه باستخدام عيب XSS ، يجب على المؤسسات اتباع القاعدة الأساسية "ألا تثق أبدًا بإدخال المستخدم" ، كما كتب يوديف. وأضاف: "يجب تعقيم المدخلات وإفلاتها بشكل صحيح" ، مشيرًا إلى المنظمات إلى XSS Prevention Cheat Sheet بواسطة افتح مشروع أمان تطبيق الويب (OWASP) لمزيد من المعلومات حول هذا الموضوع.
كتب يوديف أنه يجب على المنظمات أيضًا أن تكون حذرة في تنفيذها لمعرف الجلسة على المواقع التي تواجه الويب لأنه "هدف مشترك للمتسللين" ، الذين يمكنهم الاستفادة منه لاختطاف الجلسات والاستيلاء على الحساب.
وأوضح أنه "من المهم توخي الحذر الشديد عند التعامل معها وعدم فضحها أو إساءة استخدامها لأغراض أخرى".
أخيرًا ، فإن أسهل طريقة لإيقاف هجمات حقن XXE مثل تلك التي أوضحها الباحثون هي تعطيل الكيانات الخارجية تمامًا في تكوين محلل XML الخاص بك ، كما قال الباحثون. وأضافوا أن OWASP لديها مورد آخر مفيد يسمى XXE Prevention Cheat Sheet الذي يمكن أن يوجه المنظمات في هذه المهمة.
