বহুল ব্যবহৃত লেগো অনলাইন মার্কেটপ্লেসে API ত্রুটিগুলি আক্রমণকারীদের ব্যবহারকারীর অ্যাকাউন্টগুলি দখল করতে, প্ল্যাটফর্মে সংরক্ষিত সংবেদনশীল ডেটা ফাঁস করতে এবং কর্পোরেট পরিষেবাগুলির সাথে আপস করার জন্য অভ্যন্তরীণ উত্পাদন ডেটাতে অ্যাক্সেস লাভ করতে পারে, গবেষকরা খুঁজে পেয়েছেন।
সল্ট ল্যাবসের গবেষকরা দুর্বলতাগুলি আবিষ্কার করেছেন ব্রিকলিংক, মালিকানাধীন একটি ডিজিটাল রিসেল প্ল্যাটফর্ম লেগো গ্রুপ সেকেন্ড-হ্যান্ড লেগোস ক্রয় এবং বিক্রয়ের জন্য, এটি প্রদর্শন করে যে — প্রযুক্তির দিক থেকে, যাইহোক — কোম্পানির সমস্ত খেলনা টুকরোগুলি পুরোপুরি জায়গায় যায় না।
সল্ট সিকিউরিটি এর গবেষণা বাহু সাইটটির এমন এলাকা অনুসন্ধান করে উভয় দুর্বলতা আবিষ্কার করেছে যা ব্যবহারকারীর ইনপুট ক্ষেত্রগুলিকে সমর্থন করে, সল্ট ল্যাবসের নিরাপত্তা গবেষক শিরান ইয়োদেভ, প্রকাশ করেছেন একটি প্রতিবেদন 15 ডিসেম্বর প্রকাশিত।
গবেষকরা প্রতিটি মূল ত্রুটি খুঁজে পেয়েছেন যা সাইটের কিছু অংশে আক্রমণের জন্য ব্যবহার করা যেতে পারে যা ব্যবহারকারীর ইনপুট দেওয়ার অনুমতি দেয়, যা তারা বলেছে যে প্রায়শই এমন একটি জায়গা যেখানে API নিরাপত্তা সমস্যা হয় — একটি জটিল এবং ব্যয়বহুল সমস্যা সংস্থাগুলির জন্য - উঠুন।
একটি ত্রুটি ছিল একটি ক্রস-সাইট স্ক্রিপ্টিং (এক্সএসএস) দুর্বলতা যা তাদেরকে একটি তৈরি করা লিঙ্কের মাধ্যমে একজন শিকার শেষ ব্যবহারকারীর মেশিনে কোড ইনজেকশন এবং কার্যকর করতে সক্ষম করেছিল, তারা বলেছিল। অন্যটি এক্সএমএল এক্সটারনাল এন্টিটি (এক্সএক্সই) ইনজেকশন অ্যাটাক চালানোর জন্য অনুমোদিত, যেখানে একটি এক্সএমএল ইনপুট একটি বাহ্যিক সত্তার রেফারেন্স ধারণকারী একটি দুর্বল কনফিগার করা XML পার্সার দ্বারা প্রক্রিয়া করা হয়।
API দুর্বলতা প্রচুর
গবেষকরা সতর্ক ছিলেন যে তারা লেগোকে বিশেষভাবে অবহেলাকারী প্রযুক্তি প্রদানকারী হিসাবে আলাদা করার ইচ্ছা পোষণ করেননি - বিপরীতে, ইন্টারনেট-মুখী অ্যাপ্লিকেশনগুলিতে API ত্রুটিগুলি অবিশ্বাস্যভাবে সাধারণ, তারা বলেছে।
এর একটি মূল কারণ রয়েছে, ইয়োদেভ ডার্ক রিডিংকে বলেছেন: আইটি ডিজাইন এবং ডেভেলপমেন্ট টিমের দক্ষতা যাই হোক না কেন, এপিআই সুরক্ষা একটি নতুন শৃঙ্খলা যা সমস্ত ওয়েব ডেভেলপার এবং ডিজাইনাররা এখনও খুঁজে বের করছেন।
"আমরা তদন্ত করি এমন সব ধরণের অনলাইন পরিষেবাগুলিতে আমরা সহজেই এই ধরণের গুরুতর API দুর্বলতাগুলি খুঁজে পাই," তিনি বলেছেন। "এমনকি সবচেয়ে শক্তিশালী অ্যাপ্লিকেশন সুরক্ষা টুলিং এবং উন্নত সুরক্ষা দলগুলির সাথে প্রায়শই তাদের API ব্যবসায়িক যুক্তিতে ফাঁক থাকে।"
এবং যদিও উভয় ত্রুটিই প্রাক-প্রোডাকশন নিরাপত্তা পরীক্ষার মাধ্যমে সহজেই আবিষ্কৃত হতে পারত, “API নিরাপত্তা এখনও অনেক প্রতিষ্ঠানের জন্য একটি চিন্তাভাবনা,” স্কট গারলাচ, StackHawk-এর সহ-প্রতিষ্ঠাতা এবং CSO, একজন API নিরাপত্তা পরীক্ষা প্রদানকারী নোট করেছেন।
"এটি সাধারণত কার্যকর হয় না যতক্ষণ না একটি API ইতিমধ্যেই মোতায়েন করা হয়েছে, বা অন্যান্য ক্ষেত্রে, সংস্থাগুলি এপিআইগুলিকে পুঙ্খানুপুঙ্খভাবে পরীক্ষা করার জন্য তৈরি করা হয়নি এমন লিগ্যাসি টুলিং ব্যবহার করছে, ক্রস-সাইট স্ক্রিপ্টিং এবং ইনজেকশন আক্রমণের মতো দুর্বলতাগুলিকে অনাবিষ্কৃত রেখে," তিনি বলেছেন .
ব্যক্তিগত আগ্রহ, দ্রুত প্রতিক্রিয়া
Lego's BrickLink তদন্ত করার জন্য গবেষণার উদ্দেশ্য Lego কে লজ্জা দেওয়া বা দোষারোপ করা বা "কাউকে খারাপ দেখানো" নয়, বরং "এই ভুলগুলি কতটা সাধারণ এবং কোম্পানিগুলিকে তাদের মূল ডেটা এবং পরিষেবাগুলি রক্ষা করার জন্য তারা যে পদক্ষেপ নিতে পারে সে সম্পর্কে শিক্ষিত করা" ইয়োদেভ বলেছেন।
লেগো গ্রুপ হল বিশ্বের বৃহত্তম খেলনা কোম্পানি এবং একটি ব্যাপকভাবে স্বীকৃত ব্র্যান্ড যা প্রকৃতপক্ষে সমস্যাটির প্রতি মানুষের দৃষ্টি আকর্ষণ করতে পারে, গবেষকরা বলেছেন। কোম্পানী প্রতি বছর বিলিয়ন ডলার আয় করে, শুধুমাত্র শিশুদের লেগোস ব্যবহারে আগ্রহের কারণেই নয় বরং পুরো প্রাপ্তবয়স্ক শখের সম্প্রদায়ের ফলে - যার মধ্যে ইয়োদেভ স্বীকার করেছেন যে তিনি একজন - যেটি লেগো সেট সংগ্রহ করে এবং তৈরি করে।
Legos-এর জনপ্রিয়তার কারণে, BrickLink-এর 1 মিলিয়নেরও বেশি সদস্য রয়েছে যারা এটির সাইট ব্যবহার করে।
গবেষকরা 18 অক্টোবর ত্রুটিগুলি আবিষ্কার করেন এবং, তার কৃতিত্বের জন্য, লেগো দ্রুত প্রতিক্রিয়া জানায় যখন সল্ট সিকিউরিটি 23 অক্টোবর কোম্পানির কাছে সমস্যাগুলি প্রকাশ করে এবং দুই দিনের মধ্যে প্রকাশের বিষয়টি নিশ্চিত করে। সল্ট ল্যাব দ্বারা পরিচালিত পরীক্ষাগুলি শীঘ্রই 10 নভেম্বর নিশ্চিত করেছে যে সমস্যাগুলি সমাধান করা হয়েছে, গবেষকরা বলেছেন।
“তবে, লেগোর অভ্যন্তরীণ নীতির কারণে, তারা রিপোর্ট করা দুর্বলতা সম্পর্কিত কোনো তথ্য শেয়ার করতে পারে না, এবং তাই আমরা ইতিবাচকভাবে নিশ্চিত করতে অক্ষম,” ইয়োদেভ স্বীকার করেন। অধিকন্তু, এই নীতিটি সল্ট ল্যাবগুলিকে নিশ্চিত করতে বা অস্বীকার করতে বাধা দেয় যে আক্রমণকারীরা বন্যের কোনও ত্রুটিকে কাজে লাগায়, তিনি বলেছেন।
দুর্বলতাগুলি একসাথে স্ন্যাপ করা
গবেষকরা BrickLinks-এর কুপন অনুসন্ধান কার্যকারিতার "ব্যবহারকারীর নাম খুঁজুন" ডায়ালগ বক্সে XSS ত্রুটি খুঁজে পেয়েছেন, যা একটি ভিন্ন পৃষ্ঠায় উন্মোচিত একটি সেশন আইডি ব্যবহার করে আক্রমণের চেইন তৈরি করেছে, তারা বলেছে।
"'ব্যবহারকারীর নাম খুঁজুন' ডায়ালগ বক্সে, একজন ব্যবহারকারী একটি বিনামূল্যের পাঠ্য লিখতে পারেন যা শেষ পর্যন্ত ওয়েবপেজের HTML-এ রেন্ডার করা হয়," ইয়োদেভ লিখেছেন৷ "ব্যবহারকারীরা এই খোলা ক্ষেত্রের অপব্যবহার করতে পারে ইনপুট টেক্সট যা একটি XSS অবস্থার দিকে নিয়ে যেতে পারে।"
যদিও গবেষকরা আক্রমণটি মাউন্ট করার জন্য নিজের ত্রুটিটি ব্যবহার করতে পারেননি, তারা একটি ভিন্ন পৃষ্ঠায় একটি উন্মুক্ত সেশন আইডি খুঁজে পেয়েছেন যা তারা ব্যবহারকারীর সেশন হাইজ্যাক করতে এবং অ্যাকাউন্ট টেকওভার (ATO) অর্জনের জন্য XSS ত্রুটির সাথে একত্রিত করতে পারে, তারা ব্যাখ্যা করেছে .
"খারাপ অভিনেতারা সম্পূর্ণ অ্যাকাউন্ট টেকওভারের জন্য বা সংবেদনশীল ব্যবহারকারীর ডেটা চুরি করার জন্য এই কৌশলগুলি ব্যবহার করতে পারে," ইয়োদেভ লিখেছেন।
গবেষকরা প্ল্যাটফর্মের অন্য একটি অংশে দ্বিতীয় ত্রুটিটি উন্মোচন করেছেন যা সরাসরি ব্যবহারকারীর ইনপুট গ্রহণ করে, "আপলোড টু ওয়ান্টেড লিস্ট" নামে পরিচিত, যা ব্রিকলিঙ্ক ব্যবহারকারীদের পছন্দসই লেগো অংশগুলির তালিকা এবং/অথবা XML ফর্ম্যাটে সেট আপলোড করতে দেয়, তারা বলেছে।
সাইটটির এক্সএমএল পার্সার কীভাবে এক্সএমএল এক্সটার্নাল এন্টিটি ব্যবহার করে, এক্সএমএল স্ট্যান্ডার্ডের একটি অংশ যা একটি সত্তা নামে একটি ধারণাকে সংজ্ঞায়িত করে, বা কিছু ধরণের স্টোরেজ ইউনিট ব্যবহার করে তার কারণে দুর্বলতা উপস্থিত ছিল, ইয়োদেভ পোস্টে ব্যাখ্যা করেছেন। BrickLinks পৃষ্ঠার ক্ষেত্রে, বাস্তবায়নটি এমন একটি শর্তের জন্য দুর্বল ছিল যেখানে XML প্রসেসর গোপনীয় তথ্য প্রকাশ করতে পারে যা সাধারণত অ্যাপ্লিকেশন দ্বারা অ্যাক্সেসযোগ্য নয়, তিনি লিখেছেন।
গবেষকরা একটি XXE ইনজেকশন আক্রমণ মাউন্ট করার ত্রুটিটি কাজে লাগিয়েছেন যা চলমান ব্যবহারকারীর অনুমতি নিয়ে একটি সিস্টেম-ফাইল পড়ার অনুমতি দেয়। এই ধরনের আক্রমণ সার্ভার-সাইড অনুরোধ জালিয়াতি ব্যবহার করে একটি অতিরিক্ত আক্রমণ ভেক্টরের অনুমতি দিতে পারে, যা অ্যামাজন ওয়েব পরিষেবাগুলিতে চলমান একটি অ্যাপ্লিকেশনের জন্য শংসাপত্র অর্জন করতে এবং এইভাবে একটি অভ্যন্তরীণ নেটওয়ার্ক লঙ্ঘন করতে আক্রমণকারীকে সক্ষম করতে পারে, গবেষকরা বলেছেন।
অনুরূপ API ত্রুটিগুলি এড়ানো
গবেষকরা এন্টারপ্রাইজগুলিকে অনুরূপ API সমস্যা তৈরি করা এড়াতে সাহায্য করার জন্য কিছু পরামর্শ ভাগ করেছেন যা তাদের নিজস্ব পরিবেশে ইন্টারনেট-মুখী অ্যাপ্লিকেশনগুলিতে শোষণ করা যেতে পারে।
এপিআই দুর্বলতার ক্ষেত্রে, আক্রমণকারীরা সবচেয়ে বেশি ক্ষতি করতে পারে যদি তারা বিভিন্ন ইস্যুতে আক্রমণগুলিকে একত্রিত করে বা দ্রুত পর্যায়ক্রমে পরিচালনা করে, ইয়োডেভ লিখেছেন, লেগোর ত্রুটিগুলির ক্ষেত্রে গবেষকরা এমন কিছু প্রদর্শন করেছেন।
XSS ত্রুটির সাথে তৈরি দৃশ্যকল্প এড়াতে, সংস্থাগুলিকে থাম্বের নিয়ম অনুসরণ করা উচিত "ব্যবহারকারীর ইনপুটকে কখনই বিশ্বাস না করা," Yodev লিখেছেন। "ইনপুট সঠিকভাবে স্যানিটাইজ করা উচিত এবং পালানো উচিত," তিনি যোগ করেছেন, সংস্থাগুলিকে XSS প্রিভেনশন চিট শীটে উল্লেখ করে ওয়েব অ্যাপ্লিকেশন নিরাপত্তা প্রকল্প খুলুন (OWASP) এই বিষয়ে আরও তথ্যের জন্য।
সংস্থাগুলিকে ওয়েব-মুখী সাইটগুলিতে সেশন আইডি প্রয়োগের ক্ষেত্রেও সতর্কতা অবলম্বন করা উচিত কারণ এটি "হ্যাকারদের জন্য একটি সাধারণ লক্ষ্য", যারা এটিকে সেশন হাইজ্যাকিং এবং অ্যাকাউন্ট টেকওভারের জন্য ব্যবহার করতে পারে, ইয়োদেভ লিখেছেন৷
"এটি পরিচালনা করার সময় অত্যন্ত সতর্কতা অবলম্বন করা গুরুত্বপূর্ণ এবং এটিকে অন্য উদ্দেশ্যে প্রকাশ বা অপব্যবহার না করা," তিনি ব্যাখ্যা করেছিলেন।
অবশেষে, XXE ইনজেকশন আক্রমণ বন্ধ করার সবচেয়ে সহজ উপায় হল একজন গবেষক যেমন দেখিয়েছেন আপনার XML পার্সারের কনফিগারেশনে বাহ্যিক সত্তাকে সম্পূর্ণরূপে নিষ্ক্রিয় করা, গবেষকরা বলেছেন। OWASP-এর কাছে XXE প্রিভেনশন চিট শীট নামে আরেকটি দরকারী সংস্থান রয়েছে যা এই কাজে সংস্থাগুলিকে গাইড করতে পারে, তারা যোগ করেছে।
