Les failles de l'API dans un marché en ligne Lego largement utilisé auraient pu permettre aux attaquants de prendre le contrôle des comptes d'utilisateurs, de divulguer des données sensibles stockées sur la plate-forme et même d'accéder aux données de production internes pour compromettre les services de l'entreprise, ont découvert des chercheurs.
Des chercheurs de Salt Labs ont découvert les vulnérabilités de Bricklink, une plateforme de revente numérique détenue par le groupe Lego pour acheter et vendre des Legos d'occasion, démontrant que - du point de vue technologique, de toute façon - tous les jouets de l'entreprise ne s'enclenchent pas parfaitement.
La branche de recherche de Salt Security a découvert les deux vulnérabilités en enquêtant sur les zones du site qui prennent en charge les champs de saisie des utilisateurs, a révélé Shiran Yodev, chercheur en sécurité de Salts Labs, dans un rapport publié le 15 décembre.
Les chercheurs ont trouvé chacune des principales failles qui pourraient être exploitées pour des attaques dans des parties du site qui permettent la saisie des utilisateurs, ce qui, selon eux, est souvent un endroit où les problèmes de sécurité de l'API — un problème complexe et coûteux pour les organisations — surgissent.
L'une des failles était une vulnérabilité de script intersite (XSS) qui leur permettait d'injecter et d'exécuter du code sur la machine d'un utilisateur final victime via un lien spécialement conçu, ont-ils déclaré. L'autre permettait l'exécution d'une attaque par injection d'entité externe XML (XXE), dans laquelle une entrée XML contenant une référence à une entité externe est traitée par un analyseur XML faiblement configuré.
Les faiblesses de l'API abondent
Les chercheurs ont pris soin de souligner qu'ils n'avaient pas l'intention de désigner Lego comme un fournisseur de technologie particulièrement négligent - au contraire, les failles d'API dans les applications Internet sont incroyablement courantes, ont-ils déclaré.
Il y a une raison clé à cela, dit Yodev à Dark Reading: Quelle que soit la compétence d'une équipe de conception et de développement informatique, Sécurité API est une nouvelle discipline que tous les développeurs et concepteurs Web sont encore en train de comprendre.
"Nous trouvons facilement ces types de vulnérabilités graves de l'API dans toutes sortes de services en ligne que nous étudions", dit-il. "Même les entreprises disposant des outils de sécurité des applications les plus robustes et des équipes de sécurité avancées ont souvent des lacunes dans leur logique métier API."
Et bien que les deux failles auraient pu être découvertes facilement grâce à des tests de sécurité de pré-production, « la sécurité des API est encore une réflexion après coup pour de nombreuses organisations », note Scott Gerlach, co-fondateur et CSO chez StackHawk, un fournisseur de tests de sécurité des API.
"Cela n'entre généralement en jeu qu'après le déploiement d'une API, ou dans d'autres cas, les organisations utilisent des outils hérités qui ne sont pas conçus pour tester les API de manière approfondie, laissant des vulnérabilités telles que les scripts intersites et les attaques par injection non découvertes", dit-il. .
Intérêt personnel, réponse rapide
La recherche pour enquêter sur BrickLink de Lego n'avait pas pour but de faire honte et de blâmer Lego ou de "faire mal paraître quelqu'un", mais plutôt de démontrer "à quel point ces erreurs sont courantes et d'informer les entreprises sur les mesures qu'elles peuvent prendre pour protéger leurs données et services clés". dit Yodev.
Le groupe Lego est la plus grande entreprise de jouets au monde et une marque massivement reconnaissable qui peut en effet attirer l'attention des gens sur la question, ont déclaré les chercheurs. L'entreprise gagne des milliards de dollars de revenus par an, non seulement en raison de l'intérêt des enfants pour l'utilisation de Legos, mais aussi grâce à toute une communauté d'amateurs adultes - dont Yodev admet qu'il fait partie - qui collectionne et construit également des ensembles Lego.
En raison de la popularité des Legos, BrickLink compte plus d'un million de membres qui utilisent son site.
Les chercheurs ont découvert les failles le 18 octobre et, à son crédit, Lego a réagi rapidement lorsque Salt Security a révélé les problèmes à la société le 23 octobre, confirmant la divulgation dans les deux jours. Les tests effectués par Salt Labs ont confirmé peu de temps après, le 10 novembre, que les problèmes avaient été résolus, ont déclaré les chercheurs.
"Cependant, en raison de la politique interne de Lego, ils ne peuvent partager aucune information concernant les vulnérabilités signalées, et nous ne sommes donc pas en mesure de confirmer positivement", reconnaît Yodev. De plus, cette politique empêche également Salt Labs de confirmer ou de nier si les attaquants ont exploité l'une ou l'autre des failles dans la nature, dit-il.
Regrouper les vulnérabilités
Les chercheurs ont trouvé la faille XSS dans la boîte de dialogue "Rechercher un nom d'utilisateur" de la fonctionnalité de recherche de coupons de BrickLinks, conduisant à une chaîne d'attaque utilisant un identifiant de session exposé sur une autre page, ont-ils déclaré.
"Dans la boîte de dialogue 'Rechercher un nom d'utilisateur', un utilisateur peut écrire un texte libre qui finit par être rendu dans le code HTML de la page Web", a écrit Yodev. "Les utilisateurs peuvent abuser de ce champ ouvert pour saisir du texte pouvant conduire à une condition XSS."
Bien que les chercheurs n'aient pas pu utiliser la faille seule pour monter une attaque, ils ont trouvé un identifiant de session exposé sur une page différente qu'ils pouvaient combiner avec la faille XSS pour détourner la session d'un utilisateur et réaliser une prise de contrôle de compte (ATO), ont-ils expliqué .
"De mauvais acteurs auraient pu utiliser ces tactiques pour prendre le contrôle complet d'un compte ou pour voler des données utilisateur sensibles", a écrit Yodev.
Les chercheurs ont découvert la deuxième faille dans une autre partie de la plate-forme qui reçoit une entrée directe de l'utilisateur, appelée "Télécharger sur la liste des objets recherchés", qui permet aux utilisateurs de BrickLink de télécharger une liste de pièces et/ou d'ensembles Lego recherchés au format XML, ont-ils déclaré.
La vulnérabilité était présente en raison de la façon dont l'analyseur XML du site utilise les entités externes XML, une partie de la norme XML qui définit un concept appelé entité, ou une unité de stockage d'un certain type, a expliqué Yodev dans le message. Dans le cas de la page BrickLinks, la mise en œuvre était vulnérable à une condition dans laquelle le processeur XML peut divulguer des informations confidentielles qui ne sont généralement pas accessibles par l'application, a-t-il écrit.
Les chercheurs ont exploité la faille pour monter une attaque par injection XXE qui permet la lecture d'un fichier système avec les autorisations de l'utilisateur en cours d'exécution. Ce type d'attaque peut également permettre un vecteur d'attaque supplémentaire utilisant la falsification de requête côté serveur, ce qui pourrait permettre à un attaquant d'obtenir des informations d'identification pour une application s'exécutant sur Amazon Web Services et ainsi violer un réseau interne, ont déclaré les chercheurs.
Éviter les défauts d'API similaires
Les chercheurs ont partagé quelques conseils pour aider les entreprises à éviter de créer des problèmes d'API similaires qui pourraient être exploités sur des applications accessibles sur Internet dans leurs propres environnements.
Dans le cas des vulnérabilités de l'API, les attaquants peuvent infliger le plus de dégâts s'ils combinent des attaques sur divers problèmes ou les mènent en succession rapide, a écrit Yodev, ce que les chercheurs ont démontré est le cas avec les failles Lego.
Pour éviter le scénario créé avec la faille XSS, les organisations doivent suivre la règle empirique "ne jamais faire confiance aux entrées des utilisateurs", a écrit Yodev. "Les entrées doivent être correctement désinfectées et échappées", a-t-il ajouté, renvoyant les organisations à la feuille de triche de prévention XSS par le Projet de sécurité des applications Web ouvertes (OWASP) pour plus d'informations sur ce sujet.
Les organisations doivent également être prudentes dans leur mise en œuvre de l'ID de session sur les sites Web, car c'est "une cible commune pour les pirates", qui peuvent l'exploiter pour le piratage de session et la prise de contrôle de compte, a écrit Yodev.
"Il est important d'être très prudent lors de sa manipulation et de ne pas l'exposer ou de l'utiliser à d'autres fins", a-t-il expliqué.
Enfin, le moyen le plus simple d'arrêter les attaques par injection XXE comme celle démontrée par les chercheurs est de désactiver complètement les entités externes dans la configuration de votre analyseur XML, ont déclaré les chercheurs. L'OWASP dispose d'une autre ressource utile appelée XXE Prevention Cheat Sheet qui peut guider les organisations dans cette tâche, ont-ils ajouté.
- blockchain
- portefeuilles de crypto-monnaie
- cryptoexchange
- la cyber-sécurité
- les cybercriminels
- Cybersécurité
- Lecture sombre
- département de la Sécurité intérieure
- portefeuilles numériques
- pare-feu
- Kaspersky
- malware
- Mcafee
- NexBLOC
- Platon
- platon ai
- Intelligence des données Platon
- Jeu de Platon
- PlatonDonnées
- jeu de platogamie
- VPN
- la sécurité d'un site web
