API-Fehler in einem weit verbreiteten Lego-Online-Marktplatz hätten es Angreifern ermöglichen können, Benutzerkonten zu übernehmen, auf der Plattform gespeicherte sensible Daten zu verlieren und sogar Zugriff auf interne Produktionsdaten zu erhalten, um Unternehmensdienste zu kompromittieren, haben Forscher herausgefunden.
Forscher von Salt Labs entdeckten die Schwachstellen in Bricklink, eine digitale Wiederverkaufsplattform im Besitz von die Lego-Gruppe für den Kauf und Verkauf von gebrauchten Legos, was zeigt, dass – jedenfalls technisch gesehen – nicht alle Spielzeugteile des Unternehmens perfekt einrasten.
Der Forschungszweig von Salt Security entdeckte beide Schwachstellen, indem er Bereiche der Website untersuchte, die Benutzereingabefelder unterstützen, enthüllte Shiran Yodev, Sicherheitsforscherin von Salts Labs ein Bericht veröffentlicht am 15. Dezember.
Die Forscher fanden alle Kernfehler, die für Angriffe ausgenutzt werden könnten, in Teilen der Website, die Benutzereingaben zulassen, was ihrer Meinung nach häufig ein Ort ist, an dem API-Sicherheitsprobleme auftreten – ein komplexes und kostspieliges Problem für Organisationen – entstehen.
Ein Fehler war eine Cross-Site-Scripting (XSS)-Schwachstelle, die es ihnen ermöglichte, Code auf dem Computer eines betroffenen Endbenutzers über einen manipulierten Link einzuschleusen und auszuführen, sagten sie. Der andere ermöglichte die Ausführung eines XML External Entity (XXE) Injection-Angriffs, bei dem eine XML-Eingabe, die einen Verweis auf eine externe Entität enthält, von einem schwach konfigurierten XML-Parser verarbeitet wird.
API-Schwächen gibt es zuhauf
Die Forscher betonten sorgfältig, dass sie Lego nicht als besonders fahrlässigen Technologieanbieter herausstellen wollten – im Gegenteil, API-Fehler in internetbasierten Anwendungen seien unglaublich häufig, sagten sie.
Dafür gibt es einen Hauptgrund, sagt Yodev gegenüber Dark Reading: Unabhängig von der Kompetenz eines IT-Design- und Entwicklungsteams, API-Sicherheit ist eine neue Disziplin, die alle Webentwickler und -designer noch herausfinden müssen.
„Wir finden diese Art von schwerwiegenden API-Schwachstellen leicht in allen Arten von Online-Diensten, die wir untersuchen“, sagt er. „Selbst Unternehmen mit den robustesten Anwendungssicherheitstools und fortschrittlichen Sicherheitsteams haben häufig Lücken in ihrer API-Geschäftslogik.“
Und während beide Schwachstellen durch Sicherheitstests vor der Produktion leicht hätten entdeckt werden können, „ist API-Sicherheit für viele Unternehmen immer noch ein nachträglicher Einfall“, bemerkt Scott Gerlach, Mitbegründer und CSO bei StackHawk, einem Anbieter von API-Sicherheitstests.
„Normalerweise kommt es erst ins Spiel, nachdem eine API bereits bereitgestellt wurde, oder in anderen Fällen verwenden Organisationen Legacy-Tools, die nicht zum gründlichen Testen von APIs entwickelt wurden, wodurch Schwachstellen wie Cross-Site-Scripting und Injection-Angriffe unentdeckt bleiben“, sagt er .
Persönliches Interesse, schnelle Reaktion
Die Forschung zur Untersuchung von Legos BrickLink sollte Lego nicht beschämen und beschuldigen oder „jemanden schlecht aussehen lassen“, sondern vielmehr zeigen, „wie häufig diese Fehler sind, und Unternehmen über Schritte aufklären, die sie zum Schutz ihrer Schlüsseldaten und -dienste ergreifen können“. Yodev sagt.
Die Lego-Gruppe ist das weltweit größte Spielzeugunternehmen und eine Marke mit hohem Wiedererkennungswert, die die Aufmerksamkeit der Menschen tatsächlich auf das Thema lenken kann, sagten die Forscher. Das Unternehmen erwirtschaftet jährlich Einnahmen in Milliardenhöhe, nicht nur aufgrund des Interesses von Kindern an der Verwendung von Legos, sondern auch aufgrund einer ganzen erwachsenen Hobby-Community – zu der Yodev zugibt, dass er einer ist – die ebenfalls Lego-Sets sammelt und baut.
Aufgrund der Popularität von Legos hat BrickLink mehr als 1 Million Mitglieder, die seine Website nutzen.
Die Forscher entdeckten die Fehler am 18. Oktober, und Lego reagierte schnell, als Salt Security dem Unternehmen die Probleme am 23. Oktober offenbarte, und bestätigte die Offenlegung innerhalb von zwei Tagen. Tests, die von Salt Labs durchgeführt wurden, bestätigten kurz darauf, am 10. November, dass die Probleme gelöst wurden, sagten die Forscher.
„Aufgrund der internen Richtlinien von Lego können sie jedoch keine Informationen über gemeldete Schwachstellen weitergeben, und wir können sie daher nicht positiv bestätigen“, räumt Yodev ein. Darüber hinaus hindert diese Richtlinie Salt Labs daran, zu bestätigen oder zu leugnen, ob Angreifer einen der Fehler in freier Wildbahn ausgenutzt haben, sagt er.
Zusammenfügen der Schwachstellen
Forscher fanden den XSS-Fehler im Dialogfeld „Benutzernamen finden“ der Coupon-Suchfunktion von BrickLinks, was zu einer Angriffskette führte, bei der eine Sitzungs-ID verwendet wurde, die auf einer anderen Seite angezeigt wurde, sagten sie.
„Im Dialogfeld ‚Benutzernamen finden' kann ein Benutzer einen freien Text schreiben, der schließlich in den HTML-Code der Webseite gerendert wird“, schrieb Yodev. „Benutzer können dieses offene Feld missbrauchen, um Text einzugeben, der zu einer XSS-Bedingung führen kann.“
Obwohl die Forscher den Fehler allein nicht für einen Angriff verwenden konnten, fanden sie eine offengelegte Sitzungs-ID auf einer anderen Seite, die sie mit dem XSS-Fehler kombinieren konnten, um die Sitzung eines Benutzers zu kapern und eine Kontoübernahme (ATO) zu erreichen, erklärten sie .
„Böswillige Akteure könnten diese Taktiken für eine vollständige Kontoübernahme oder zum Stehlen sensibler Benutzerdaten verwendet haben“, schrieb Yodev.
Die Forscher entdeckten den zweiten Fehler in einem anderen Teil der Plattform, der direkte Benutzereingaben erhält, genannt „Upload to Wanted List“, der es BrickLink-Benutzern ermöglicht, eine Liste gesuchter Lego-Teile und/oder -Sets im XML-Format hochzuladen, sagten sie.
Die Schwachstelle bestand darin, wie der XML-Parser der Website externe XML-Entitäten verwendet, einen Teil des XML-Standards, der ein Konzept namens Entität oder eine Art Speichereinheit definiert, erklärte Yodev in dem Beitrag. Im Fall der BrickLinks-Seite war die Implementierung anfällig für eine Bedingung, in der der XML-Prozessor vertrauliche Informationen offenlegen könnte, auf die die Anwendung normalerweise nicht zugreifen kann, schrieb er.
Forscher nutzten den Fehler aus, um einen XXE-Injection-Angriff zu starten, der das Lesen einer Systemdatei mit den Berechtigungen des aktiven Benutzers ermöglicht. Diese Art von Angriff kann auch einen zusätzlichen Angriffsvektor mit serverseitiger Anforderungsfälschung ermöglichen, die es einem Angreifer ermöglichen könnte, Anmeldeinformationen für eine Anwendung zu erhalten, die auf Amazon Web Services ausgeführt wird, und so ein internes Netzwerk zu verletzen, sagten die Forscher.
Vermeidung ähnlicher API-Fehler
Die Forscher gaben einige Ratschläge weiter, um Unternehmen dabei zu helfen, ähnliche API-Probleme zu vermeiden, die in ihren eigenen Umgebungen für Anwendungen mit Internetzugriff ausgenutzt werden können.
Im Fall von API-Schwachstellen können Angreifer den größten Schaden anrichten, wenn sie Angriffe auf verschiedene Probleme kombinieren oder sie in schneller Folge durchführen, schrieb Yodev, was die Forscher bei den Lego-Fehlern gezeigt haben.
Um das mit dem XSS-Fehler geschaffene Szenario zu vermeiden, sollten Unternehmen die Faustregel befolgen, „Benutzereingaben niemals zu vertrauen“, schrieb Yodev. „Eingaben sollten ordnungsgemäß desinfiziert und entkommen werden“, fügte er hinzu und verwies Organisationen auf das XSS-Präventions-Spickzettel von Öffnen Sie das Webanwendungssicherheitsprojekt (OWASP) für weitere Informationen zu diesem Thema.
Unternehmen sollten auch bei der Implementierung von Sitzungs-IDs auf Web-Sites vorsichtig sein, da dies „ein häufiges Ziel für Hacker“ ist, die sie für Sitzungs-Hijacking und Kontoübernahmen nutzen können, schrieb Yodev.
„Es ist wichtig, sehr vorsichtig damit umzugehen und es nicht freizulegen oder für andere Zwecke zu missbrauchen“, erklärte er.
Schließlich besteht der einfachste Weg, XXE-Injection-Angriffe wie den von den Forschern demonstrierten zu stoppen, darin, externe Entitäten in der Konfiguration Ihres XML-Parsers vollständig zu deaktivieren, sagten die Forscher. Das OWASP hat eine weitere nützliche Ressource namens XXE Prevention Cheat Sheet, die Organisationen bei dieser Aufgabe anleiten kann, fügten sie hinzu.
