Τα σφάλματα API σε μια ευρέως χρησιμοποιούμενη διαδικτυακή αγορά Lego θα μπορούσαν να έχουν επιτρέψει στους εισβολείς να κατακτήσουν λογαριασμούς χρηστών, να διαρρεύσουν ευαίσθητα δεδομένα που είναι αποθηκευμένα στην πλατφόρμα και ακόμη και να αποκτήσουν πρόσβαση σε δεδομένα εσωτερικής παραγωγής για να θέσουν σε κίνδυνο τις εταιρικές υπηρεσίες, διαπίστωσαν ερευνητές.
Ερευνητές από το Salt Labs ανακάλυψαν τα τρωτά σημεία στο Bricklink, μια πλατφόρμα ψηφιακής μεταπώλησης που ανήκει στην ο Όμιλος Lego για αγοραπωλησίες μεταχειρισμένων Lego, αποδεικνύοντας ότι — τεχνολογικά, ούτως ή άλλως — δεν κουμπώνουν όλα τα κομμάτια παιχνιδιών της εταιρείας τέλεια στη θέση τους.
Ο ερευνητικός βραχίονας της Salt Security ανακάλυψε και τα δύο τρωτά σημεία διερευνώντας περιοχές του ιστότοπου που υποστηρίζουν πεδία εισαγωγής χρηστών, αποκάλυψε ο Shiran Yodev, ερευνητής ασφάλειας της Salts Labs. να αναφέρουν δημοσιεύθηκε στις 15 Δεκεμβρίου.
Οι ερευνητές βρήκαν καθένα από τα βασικά ελαττώματα που θα μπορούσαν να εκμεταλλευτούν για επίθεση σε τμήματα του ιστότοπου που επιτρέπουν την είσοδο των χρηστών, η οποία, όπως είπαν, είναι συχνά ένα μέρος όπου ζητήματα ασφάλειας API — ένα σύνθετο και δαπανηρό πρόβλημα για οργανισμούς — προκύπτουν.
Ένα ελάττωμα ήταν μια ευπάθεια cross-site scripting (XSS) που τους επέτρεπε να εισάγουν και να εκτελούν κώδικα στον υπολογιστή του τελικού χρήστη του θύματος μέσω ενός δημιουργημένου συνδέσμου, είπαν. Το άλλο επέτρεπε την εκτέλεση μιας επίθεσης έγχυσης XML External Entity (XXE), όπου μια είσοδος XML που περιέχει μια αναφορά σε μια εξωτερική οντότητα υποβάλλεται σε επεξεργασία από έναν ασθενώς διαμορφωμένο αναλυτή XML.
Οι αδυναμίες του API αφθονούν
Οι ερευνητές πρόσεχαν να τονίσουν ότι δεν σκόπευαν να ξεχωρίσουν τη Lego ως έναν ιδιαίτερα αμελή πάροχο τεχνολογίας - αντίθετα, τα ελαττώματα του API σε εφαρμογές που αντιμετωπίζουν το Διαδίκτυο είναι απίστευτα κοινά, είπαν.
Υπάρχει ένας βασικός λόγος για αυτό, λέει ο Yodev στο Dark Reading: Ανεξάρτητα από την ικανότητα μιας ομάδας σχεδιασμού και ανάπτυξης πληροφορικής, Ασφάλεια API είναι ένας νέος κλάδος που όλοι οι προγραμματιστές και σχεδιαστές Ιστού εξακολουθούν να καταλαβαίνουν.
«Βρίσκουμε εύκολα αυτού του είδους τις σοβαρές ευπάθειες API σε όλα τα είδη διαδικτυακών υπηρεσιών που ερευνούμε», λέει. «Ακόμη και οι εταιρείες με τα πιο ισχυρά εργαλεία ασφάλειας εφαρμογών και προηγμένες ομάδες ασφαλείας έχουν συχνά κενά στην επιχειρηματική λογική τους API».
Και ενώ και τα δύο ελαττώματα θα μπορούσαν να είχαν ανακαλυφθεί εύκολα μέσω δοκιμών ασφαλείας πριν από την παραγωγή, «η ασφάλεια API εξακολουθεί να αποτελεί μεταγενέστερη σκέψη για πολλούς οργανισμούς», σημειώνει ο Scott Gerlach, συνιδρυτής και CSO στο StackHawk, έναν πάροχο δοκιμών ασφαλείας API.
«Συνήθως δεν τίθεται σε εφαρμογή παρά μόνο αφού έχει ήδη αναπτυχθεί ένα API ή, σε άλλες περιπτώσεις, οι οργανισμοί χρησιμοποιούν εργαλεία παλαιού τύπου που δεν έχουν κατασκευαστεί για να δοκιμάζουν διεξοδικά τα API, αφήνοντας ακάλυπτες ευπάθειες όπως δέσμες ενεργειών μεταξύ τοποθεσιών και επιθέσεις injection», λέει. .
Προσωπικό ενδιαφέρον, ταχεία ανταπόκριση
Η έρευνα για τη διερεύνηση του BrickLink της Lego δεν είχε σκοπό να ντροπιάσει και να κατηγορήσει τη Lego ή «να κάνει οποιονδήποτε να φαίνεται κακός», αλλά μάλλον για να δείξει «πόσο συχνά είναι αυτά τα λάθη και να εκπαιδεύσει τις εταιρείες σχετικά με τα βήματα που μπορούν να λάβουν για να προστατεύσουν τα βασικά δεδομένα και τις υπηρεσίες τους». λέει ο Yodev.
Η Lego Group είναι η μεγαλύτερη εταιρεία παιχνιδιών στον κόσμο και μια μαζικά αναγνωρίσιμη μάρκα που μπορεί πράγματι να τραβήξει την προσοχή των ανθρώπων στο θέμα, είπαν οι ερευνητές. Η εταιρεία κερδίζει δισεκατομμύρια δολάρια σε έσοδα ετησίως, όχι μόνο λόγω του ενδιαφέροντος των παιδιών να χρησιμοποιούν τα Lego, αλλά και ως αποτέλεσμα μιας ολόκληρης κοινότητας ενηλίκων χομπίστων - στην οποία ο Yodev παραδέχεται ότι είναι ένας - που επίσης συλλέγει και κατασκευάζει σετ Lego.
Λόγω της δημοτικότητας των Legos, το BrickLink έχει περισσότερα από 1 εκατομμύριο μέλη που χρησιμοποιούν τον ιστότοπό του.
Οι ερευνητές ανακάλυψαν τα ελαττώματα στις 18 Οκτωβρίου και, προς τιμήν της, η Lego απάντησε γρήγορα όταν η Salt Security αποκάλυψε τα ζητήματα στην εταιρεία στις 23 Οκτωβρίου, επιβεβαιώνοντας την αποκάλυψη εντός δύο ημερών. Οι δοκιμές που πραγματοποιήθηκαν από την Salt Labs επιβεβαίωσαν λίγο μετά, στις 10 Νοεμβρίου, ότι τα ζητήματα είχαν επιλυθεί, είπαν οι ερευνητές.
«Ωστόσο, λόγω της εσωτερικής πολιτικής της Lego, δεν μπορούν να μοιραστούν καμία πληροφορία σχετικά με τις αναφερόμενες ευπάθειες, και ως εκ τούτου δεν είμαστε σε θέση να επιβεβαιώσουμε θετικά», αναγνωρίζει ο Yodev. Επιπλέον, αυτή η πολιτική εμποδίζει επίσης την Salt Labs να επιβεβαιώσει ή να διαψεύσει εάν οι επιτιθέμενοι εκμεταλλεύτηκαν κάποιο από τα ελαττώματα στη φύση, λέει.
Συνδυάζοντας τα τρωτά σημεία
Οι ερευνητές βρήκαν το ελάττωμα XSS στο πλαίσιο διαλόγου «Εύρεση ονόματος χρήστη» της λειτουργικότητας αναζήτησης κουπονιών του BrickLinks, που οδηγεί σε μια αλυσίδα επίθεσης χρησιμοποιώντας ένα αναγνωριστικό περιόδου σύνδεσης που εκτίθεται σε διαφορετική σελίδα, είπαν.
«Στο πλαίσιο διαλόγου «Εύρεση ονόματος χρήστη», ένας χρήστης μπορεί να γράψει ένα ελεύθερο κείμενο που τελικά καταλήγει να αποδίδεται στο HTML της ιστοσελίδας», έγραψε ο Yodev. "Οι χρήστες μπορούν να κάνουν κατάχρηση αυτού του ανοιχτού πεδίου για την εισαγωγή κειμένου που μπορεί να οδηγήσει σε μια συνθήκη XSS."
Αν και οι ερευνητές δεν μπορούσαν να χρησιμοποιήσουν το ελάττωμα από μόνοι τους για να πραγματοποιήσουν μια επίθεση, βρήκαν ένα εκτεθειμένο αναγνωριστικό περιόδου σύνδεσης σε διαφορετική σελίδα που θα μπορούσαν να συνδυάσουν με το ελάττωμα XSS για να παραβιάσουν τη συνεδρία ενός χρήστη και να επιτύχουν την κατάληψη λογαριασμού (ATO), εξήγησαν. .
«Κακοί ηθοποιοί θα μπορούσαν να είχαν χρησιμοποιήσει αυτές τις τακτικές για πλήρη εξαγορά λογαριασμού ή για να κλέψουν ευαίσθητα δεδομένα χρηστών», έγραψε ο Yodev.
Οι ερευνητές αποκάλυψαν το δεύτερο ελάττωμα σε ένα άλλο τμήμα της πλατφόρμας που λαμβάνει άμεσες εισόδους από τους χρήστες, που ονομάζεται "Upload to Wanted List", το οποίο επιτρέπει στους χρήστες του BrickLink να ανεβάζουν μια λίστα με επιθυμητά εξαρτήματα ή/και σετ Lego σε μορφή XML, είπαν.
Η ευπάθεια ήταν παρούσα λόγω του τρόπου με τον οποίο ο αναλυτής XML του ιστότοπου χρησιμοποιεί εξωτερικές οντότητες XML, ένα μέρος του προτύπου XML που ορίζει μια έννοια που ονομάζεται οντότητα ή μια μονάδα αποθήκευσης κάποιου τύπου, εξήγησε ο Yodev στην ανάρτηση. Στην περίπτωση της σελίδας BrickLinks, η υλοποίηση ήταν ευάλωτη σε μια κατάσταση στην οποία ο επεξεργαστής XML μπορεί να αποκαλύψει εμπιστευτικές πληροφορίες που συνήθως δεν είναι προσβάσιμες από την εφαρμογή, έγραψε.
Οι ερευνητές εκμεταλλεύτηκαν το ελάττωμα για να τοποθετήσουν μια επίθεση έγχυσης XXE που επιτρέπει την ανάγνωση ενός αρχείου συστήματος με τα δικαιώματα του τρέχοντος χρήστη. Αυτός ο τύπος επίθεσης μπορεί επίσης να επιτρέψει ένα πρόσθετο διάνυσμα επίθεσης χρησιμοποιώντας πλαστογραφία αιτημάτων από την πλευρά του διακομιστή, το οποίο θα μπορούσε να επιτρέψει σε έναν εισβολέα να αποκτήσει διαπιστευτήρια για μια εφαρμογή που εκτελείται στις Υπηρεσίες Ιστού της Amazon και έτσι να παραβιάσει ένα εσωτερικό δίκτυο, είπαν οι ερευνητές.
Αποφυγή παρόμοιων ελαττωμάτων API
Οι ερευνητές μοιράστηκαν μερικές συμβουλές για να βοηθήσουν τις επιχειρήσεις να αποφύγουν τη δημιουργία παρόμοιων προβλημάτων API που μπορούν να αξιοποιηθούν σε εφαρμογές που αντιμετωπίζουν το Διαδίκτυο στο δικό τους περιβάλλον.
Στην περίπτωση των τρωτών σημείων του API, οι εισβολείς μπορούν να προκαλέσουν τη μεγαλύτερη ζημιά εάν συνδυάσουν επιθέσεις σε διάφορα ζητήματα ή τις πραγματοποιήσουν γρήγορα διαδοχικά, έγραψε ο Yodev, κάτι που οι ερευνητές απέδειξαν ότι συμβαίνει με τα ελαττώματα Lego.
Για να αποφευχθεί το σενάριο που δημιουργήθηκε με το ελάττωμα XSS, οι οργανισμοί θα πρέπει να ακολουθούν τον εμπειρικό κανόνα «για να μην εμπιστεύονται ποτέ τη συμβολή των χρηστών», έγραψε ο Yodev. «Η εισροή θα πρέπει να απολυμανθεί σωστά και να διαφύγει», πρόσθεσε, παραπέμποντας τους οργανισμούς στο XSS Prevention Cheat Sheet από το Άνοιγμα έργου ασφαλείας εφαρμογών Web (OWASP) για περισσότερες πληροφορίες σχετικά με αυτό το θέμα.
Οι οργανισμοί θα πρέπει επίσης να είναι προσεκτικοί στην εφαρμογή του αναγνωριστικού συνεδρίας σε ιστότοπους που αντιμετωπίζουν Web, επειδή είναι «ένας κοινός στόχος για τους χάκερ», οι οποίοι μπορούν να το αξιοποιήσουν για παραβίαση συνεδρίας και εξαγορά λογαριασμού, έγραψε ο Yodev.
«Είναι σημαντικό να είστε πολύ προσεκτικοί όταν το χειρίζεστε και να μην το εκθέτετε ή το χρησιμοποιείτε κατάχρηση για άλλους σκοπούς», εξήγησε.
Τέλος, ο ευκολότερος τρόπος για να σταματήσετε τις επιθέσεις έγχυσης XXE όπως αυτή που έδειξαν οι ερευνητές είναι να απενεργοποιήσετε πλήρως τις Εξωτερικές Οντότητες στη διαμόρφωση του αναλυτή XML, είπαν οι ερευνητές. Το OWASP έχει έναν άλλο χρήσιμο πόρο που ονομάζεται XXE Prevention Cheat Sheet που μπορεί να καθοδηγήσει τους οργανισμούς σε αυτήν την εργασία, πρόσθεσαν.
- blockchain
- πορτοφόλια κρυπτογράφησης
- κρυπτο -ανταλλαγή
- κυβερνασφάλεια
- εγκληματίες του κυβερνοχώρου
- Κυβερνασφάλεια
- Σκοτεινή ανάγνωση
- Υπουργείο Εσωτερικής Ασφάλειας
- ψηφιακά πορτοφόλια
- firewall
- Kaspersky
- malware
- Mcafee
- Nexbloc
- Πλάτων
- πλάτων αι
- Πληροφορία δεδομένων Plato
- Παιχνίδι Πλάτωνας
- Πλάτωνα δεδομένα
- platogaming
- VPN
- ιστοσελίδα της ασφάλειας
