Teadlased on leidnud, et laialdaselt kasutatava Lego veebituru API-vead oleksid võinud võimaldada ründajatel võtta üle kasutajakontosid, lekitada platvormile salvestatud tundlikke andmeid ja isegi saada juurdepääsu sisemistele tootmisandmetele, et kahjustada ettevõtte teenuseid.
Salt Labsi teadlased avastasid haavatavused Telliskivi, mille omanik on digitaalne edasimüügiplatvorm Lego grupp kasutatud Legode ostmiseks ja müümiseks, mis näitab, et tehnoloogilises mõttes ei klõpsa kõik ettevõtte mänguasjad ideaalselt paika.
Salts Labsi turvateadlane Shiran Yodev avastas mõlemad haavatavused, uurides saidi piirkondi, mis toetavad kasutajate sisestusvälju. aruanne avaldatud 15. dets.
Teadlased leidsid kõik peamised vead, mida saab rünnakuteks ära kasutada saidi osades, mis võimaldavad kasutajal sisendit, mis on nende sõnul sageli koht, kus API turbeprobleemid - keeruline ja kulukas probleem organisatsioonide jaoks — tekivad.
Üks viga oli saidiülese skriptimise (XSS) haavatavus, mis võimaldas neil sisestada ja käivitada koodi ohvri lõppkasutaja masinasse loodud lingi kaudu. Teine võimaldas sooritada XML External Entity (XXE) süstimisrünnet, kus välisele olemile viidet sisaldavat XML-sisendit töötleb nõrgalt konfigureeritud XML-parser.
API nõrkusi on palju
Teadlased rõhutasid hoolikalt, et nad ei kavatse Legot eriti hooletu tehnoloogia pakkujana esile tõsta – vastupidi, API-vead Interneti-rakendustes on nende sõnul uskumatult levinud.
Sellel on peamine põhjus, ütleb Yodev Dark Readingile: Olenemata IT disaini- ja arendusmeeskonna pädevusest, API turvalisus on uus distsipliin, mida kõik veebiarendajad ja disainerid alles nuputavad.
"Leiame kergesti selliseid tõsiseid API haavatavusi kõikvõimalikes uuritavates võrguteenustes," ütleb ta. "Isegi kõige tugevamate rakenduste turbetööriistade ja täiustatud turbemeeskondadega ettevõtetel on API äriloogikas sageli lünki."
Ja kuigi mõlemad vead oleks võinud tootmiseelse turvatesti abil hõlpsasti avastada, on API turvalisus paljude organisatsioonide jaoks endiselt järelmõte,“ märgib API turbetestide pakkuja StackHawki kaasasutaja ja CSO Scott Gerlach.
"Tavaliselt tuleb see mängu alles pärast seda, kui API on juba juurutatud, või muudel juhtudel kasutavad organisatsioonid pärandtööriistu, mis pole API-de põhjalikuks testimiseks loodud, jättes avastamata haavatavused, nagu saidiülene skriptimine ja süstimisrünnakud," ütleb ta. .
Isiklikud huvid, kiire reageerimine
Lego BrickLinki uurimise eesmärk ei olnud Lego häbi ja süüdistamine ega „keegi halb väljanägemine”, vaid pigem demonstreerimaks, „kui tavalised need vead on, ja harida ettevõtteid sammude kohta, mida nad saavad oma võtmeandmete ja teenuste kaitsmiseks astuda”. Yodev ütleb.
Lego Group on maailma suurim mänguasjade ettevõte ja tohutult äratuntav kaubamärk, mis võib tõepoolest inimeste tähelepanu sellele probleemile juhtida, ütlesid teadlased. Ettevõte teenib aastas miljardeid dollareid tulu, mitte ainult laste huvi tõttu Legode kasutamise vastu, vaid ka terve täiskasvanud harrastajate kogukonna tõttu – kellest Yodev tunnistab, et ta on üks –, kes kogub ja ehitab ka Lego komplekte.
Legode populaarsuse tõttu on BrickLinkil rohkem kui miljon liiget, kes kasutavad selle saiti.
Teadlased avastasid vead 18. oktoobril ja oma kiituseks olgu öeldud, et Lego reageeris kiiresti, kui Salt Security avalikustas ettevõttele 23. oktoobril probleemid, kinnitades avalikustamist kahe päeva jooksul. Uurijate sõnul kinnitasid Salt Labsi testid varsti pärast seda, 10. novembril, et probleemid on lahendatud.
"Kuid Lego sisepoliitika tõttu ei saa nad teatatud turvaaukude kohta teavet jagada ja seetõttu ei saa me seda positiivselt kinnitada," tunnistab Yodev. Veelgi enam, see poliitika takistab ka Salt Labsil kinnitamast või eitamast, kui ründajad kasutasid looduses mõnda viga ära, ütleb ta.
Haavatavuste leidmine
Teadlased leidsid XSS-i vea BrickLinksi kupongiotsingu funktsiooni dialoogiboksis „Leia kasutajanimi”, mis viis ründeahelani, mis kasutas seansi ID-d, mis avaldati teisel lehel.
"Dialoogiboksis "Kasutajanime otsimine" saab kasutaja kirjutada vaba teksti, mis lõpuks renderdatakse veebilehe HTML-i, " kirjutas Yodev. "Kasutajad võivad seda avatud välja kasutada teksti sisestamiseks, mis võib viia XSS-i tingimuseni."
Kuigi teadlased ei saanud seda viga üksinda rünnaku käivitamiseks kasutada, leidsid nad teiselt lehelt paljastatud seansi ID, mida nad saaksid kombineerida XSS-i veaga, et kaaperdada kasutaja seanss ja saavutada konto ülevõtmine (ATO), selgitasid nad. .
"Halvad näitlejad oleksid võinud seda taktikat kasutada konto täielikuks ülevõtmiseks või tundlike kasutajaandmete varandamiseks," kirjutas Yodev.
Teadlased avastasid teise vea platvormi teises osas, mis saab otsest kasutaja sisendit, nimega "Laadi üles otsitavatesse loendisse", mis võimaldab BrickLinki kasutajatel laadida üles otsitavate Lego osade ja/või komplektide loendi XML-vormingus, ütlesid nad.
Haavatavuse põhjuseks oli see, kuidas saidi XML-i parser kasutab XML-i väliseid üksusi, mis on osa XML-standardist, mis määratleb olemi-nimelise kontseptsiooni, või teatud tüüpi salvestusüksust, selgitas Yodev postituses. BrickLinksi lehe puhul oli juurutamine haavatav olukorra suhtes, mille korral XML-protsessor võib avaldada konfidentsiaalset teavet, millele rakendus tavaliselt juurde ei pääse, kirjutas ta.
Teadlased kasutasid seda viga ära, et käivitada XXE süstimisrünnak, mis võimaldab lugeda süsteemifaile töötava kasutaja lubadega. Seda tüüpi rünnak võib võimaldada ka täiendavat ründevektorit, kasutades serveripoolset päringu võltsimist, mis võib võimaldada ründajal hankida Amazon Web Services töötava rakenduse mandaadid ja seeläbi rikkuda sisevõrku, ütlesid teadlased.
Sarnaste API vigade vältimine
Teadlased jagasid nõuandeid, mis aitavad ettevõtetel vältida sarnaste API-probleemide tekitamist, mida saab kasutada Interneti-rakendustes nende enda keskkondades.
API haavatavuste korral võivad ründajad tekitada kõige rohkem kahju, kui nad kombineerivad rünnakuid erinevatele probleemidele või viivad need läbi kiiresti järjest, kirjutas Yodev, mida teadlased näitasid, et see kehtib Lego vigade puhul.
XSS-i veaga loodud stsenaariumi vältimiseks peaksid organisatsioonid järgima rusikareeglit "mitte kunagi usaldada kasutaja sisendit", kirjutas Yodev. "Sisend tuleks korralikult desinfitseerida ja põgeneda," lisas ta, viidates organisatsioonidele XSS-i ennetamise petulehele. Avage veebirakenduste turbeprojekt (OWASP) selle teema kohta lisateabe saamiseks.
Organisatsioonid peaksid olema ettevaatlikud ka seansi ID rakendamisel veebisaitidel, kuna see on "häkkerite tavaline sihtmärk", kes saavad seda seansi kaaperdamiseks ja konto ülevõtmiseks kasutada, kirjutas Yodev.
"Oluline on selle käsitsemisel olla väga ettevaatlik ja mitte paljastada ega väärkasutada seda muul eesmärgil," selgitas ta.
Lõpuks, lihtsaim viis XXE süstimisrünnakute peatamiseks, nagu teadlased näitasid, on väliste olemite täielik keelamine oma XML-parseri konfiguratsioonis, ütlesid teadlased. Nad lisasid, et OWASP-l on veel üks kasulik ressurss nimega XXE ennetamise petuleht, mis võib organisatsioone selles ülesandes juhendada.
