Cacat API di pasar online Lego yang banyak digunakan dapat memungkinkan penyerang mengambil alih akun pengguna, membocorkan data sensitif yang disimpan di platform, dan bahkan mendapatkan akses ke data produksi internal untuk mengkompromikan layanan perusahaan, demikian temuan para peneliti.
Para peneliti dari Salt Labs menemukan kerentanan di Bricklink, platform penjualan kembali digital yang dimiliki oleh Grup Lego untuk membeli dan menjual Lego bekas, menunjukkan bahwa - bagaimanapun juga dari segi teknologi - tidak semua mainan perusahaan terpasang dengan sempurna pada tempatnya.
Kelompok penelitian Salt Security menemukan kedua kerentanan tersebut dengan menyelidiki area situs yang mendukung kolom masukan pengguna, Shiran Yodev, peneliti keamanan Salts Labs, mengungkapkan dalam laporan diterbitkan pada 15 Desember.
Para peneliti menemukan setiap kelemahan inti yang dapat dieksploitasi untuk serangan di bagian situs yang memungkinkan input pengguna, yang menurut mereka sering menjadi tempat di mana masalah keamanan API โ masalah yang kompleks dan mahal untuk organisasi - muncul.
Salah satu kelemahannya adalah kerentanan cross-site scripting (XSS) yang memungkinkan mereka menyuntikkan dan mengeksekusi kode pada mesin pengguna akhir korban melalui tautan yang dibuat, kata mereka. Yang lainnya memungkinkan eksekusi serangan injeksi Entitas Eksternal XML (XXE), di mana input XML yang berisi referensi ke entitas eksternal diproses oleh parser XML yang dikonfigurasi dengan lemah.
Banyak Kelemahan API
Para peneliti berhati-hati untuk menekankan bahwa mereka tidak bermaksud memilih Lego sebagai penyedia teknologi yang lalai โ sebaliknya, kelemahan API dalam aplikasi yang terhubung ke Internet sangat umum, kata mereka.
Ada alasan utama untuk itu, kata Yodev kepada Dark Reading: Apa pun kompetensi tim desain dan pengembangan TI, Keamanan API adalah disiplin baru yang masih dipelajari oleh semua pengembang dan perancang Web.
โKami dengan mudah menemukan jenis kerentanan API yang serius ini di semua jenis layanan online yang kami selidiki,โ katanya. โBahkan perusahaan dengan perangkat keamanan aplikasi yang paling kuat dan tim keamanan yang canggih sering kali memiliki celah dalam logika bisnis API mereka.โ
Dan meskipun kedua kelemahan tersebut dapat ditemukan dengan mudah melalui pengujian keamanan praproduksi, โKeamanan API masih menjadi renungan bagi banyak organisasi,โ catat Scott Gerlach, salah satu pendiri dan CSO di StackHawk, penyedia pengujian keamanan API.
โBiasanya tidak ikut bermain sampai setelah API telah diterapkan, atau dalam kasus lain, organisasi menggunakan alat warisan yang tidak dibangun untuk menguji API secara menyeluruh, membiarkan kerentanan seperti skrip lintas situs dan serangan injeksi tidak ditemukan,โ katanya .
Minat Pribadi, Respon Cepat
Penelitian untuk menyelidiki Lego's BrickLink tidak dimaksudkan untuk mempermalukan dan menyalahkan Lego atau "membuat siapa pun terlihat buruk", melainkan untuk menunjukkan "seberapa umum kesalahan ini dan untuk mengedukasi perusahaan tentang langkah-langkah yang dapat mereka ambil untuk melindungi data dan layanan utama mereka," kata Yodev.
Grup Lego adalah perusahaan mainan terbesar di dunia dan merek yang dikenal secara besar-besaran yang memang dapat menarik perhatian orang terhadap masalah ini, kata para peneliti. Perusahaan menghasilkan pendapatan miliaran dolar per tahun, tidak hanya karena minat anak-anak dalam menggunakan Lego tetapi juga sebagai hasil dari seluruh komunitas penghobi dewasa - yang diakui Yodev sebagai salah satunya - yang juga mengumpulkan dan membuat set Lego.
Karena popularitas Lego, BrickLink memiliki lebih dari 1 juta anggota yang menggunakan situsnya.
Para peneliti menemukan kekurangannya pada 18 Oktober, dan, patut dipuji, Lego merespons dengan cepat ketika Salt Security mengungkapkan masalah tersebut kepada perusahaan pada 23 Oktober, mengonfirmasi pengungkapan tersebut dalam dua hari. Tes yang dilakukan oleh Salt Labs mengkonfirmasi tak lama setelah itu, pada 10 November, bahwa masalah tersebut telah diselesaikan, kata para peneliti.
โNamun, karena kebijakan internal Lego, mereka tidak dapat membagikan informasi apa pun terkait kerentanan yang dilaporkan, dan oleh karena itu kami tidak dapat mengonfirmasi secara positif,โ aku Yodev. Selain itu, kebijakan ini juga mencegah Salt Labs mengonfirmasi atau menyangkal jika penyerang mengeksploitasi salah satu kelemahan di alam liar, katanya.
Memotret Bersama Kerentanan
Para peneliti menemukan cacat XSS di kotak dialog "Temukan Nama Pengguna" dari fungsi pencarian kupon BrickLinks, yang mengarah ke rantai serangan menggunakan ID sesi yang diekspos di halaman berbeda, kata mereka.
โDi kotak dialog 'Temukan Nama Pengguna', pengguna dapat menulis teks bebas yang akhirnya dirender ke dalam HTML halaman web,โ tulis Yodev. โPengguna dapat menyalahgunakan bidang terbuka ini untuk memasukkan teks yang dapat mengarah ke kondisi XSS.โ
Meskipun para peneliti tidak dapat menggunakan cacat itu sendiri untuk melakukan serangan, mereka menemukan ID sesi yang terbuka di halaman lain yang dapat mereka gabungkan dengan cacat XSS untuk membajak sesi pengguna dan mencapai pengambilalihan akun (ATO), mereka menjelaskan .
โAktor jahat dapat menggunakan taktik ini untuk pengambilalihan akun secara penuh atau untuk mencuri data pengguna yang sensitif,โ tulis Yodev.
Para peneliti menemukan kelemahan kedua di bagian lain dari platform yang menerima input pengguna langsung, yang disebut "Unggah ke Daftar Dicari," yang memungkinkan pengguna BrickLink untuk mengunggah daftar bagian dan / atau set Lego yang diinginkan dalam format XML, kata mereka.
Kerentanan itu muncul karena bagaimana parser XML situs menggunakan Entitas Eksternal XML, bagian dari standar XML yang mendefinisikan konsep yang disebut entitas, atau unit penyimpanan dari beberapa jenis, Yodev menjelaskan dalam postingan. Dalam kasus halaman BrickLinks, implementasinya rentan terhadap kondisi di mana prosesor XML dapat mengungkapkan informasi rahasia yang biasanya tidak dapat diakses oleh aplikasi, tulisnya.
Peneliti mengeksploitasi kelemahan untuk memasang serangan injeksi XXE yang memungkinkan file sistem dibaca dengan izin dari pengguna yang sedang berjalan. Jenis serangan ini juga memungkinkan vektor serangan tambahan menggunakan pemalsuan permintaan sisi server, yang memungkinkan penyerang mendapatkan kredensial untuk aplikasi yang berjalan di Amazon Web Services dan dengan demikian melanggar jaringan internal, kata para peneliti.
Menghindari Cacat API Serupa
Para peneliti membagikan beberapa saran untuk membantu perusahaan menghindari pembuatan masalah API serupa yang dapat dieksploitasi pada aplikasi yang terhubung ke Internet di lingkungan mereka sendiri.
Dalam kasus kerentanan API, penyerang dapat menimbulkan kerusakan terbesar jika mereka menggabungkan serangan pada berbagai masalah atau melakukannya secara berurutan, tulis Yodev, sesuatu yang ditunjukkan para peneliti adalah kasus kelemahan Lego.
Untuk menghindari skenario yang dibuat dengan cacat XSS, organisasi harus mengikuti aturan praktis โuntuk tidak pernah mempercayai input pengguna,โ tulis Yodev. โMasukan harus dibersihkan dan diloloskan dengan benar,โ tambahnya, merujuk organisasi ke Lembar Cheat Pencegahan XSS oleh Buka Proyek Keamanan Aplikasi Web (OWASP) untuk informasi lebih lanjut tentang topik ini.
Organisasi juga harus berhati-hati dalam menerapkan ID sesi di situs web karena ini adalah "target umum bagi peretas", yang dapat memanfaatkannya untuk pembajakan sesi dan pengambilalihan akun, tulis Yodev.
โPenting untuk berhati-hati saat menanganinya dan tidak mengekspos atau menyalahgunakannya untuk tujuan lain,โ jelasnya.
Akhirnya, cara termudah untuk menghentikan serangan injeksi XXE seperti yang ditunjukkan oleh para peneliti adalah dengan sepenuhnya menonaktifkan Entitas Eksternal dalam konfigurasi parser XML Anda, kata para peneliti. OWASP memiliki sumber lain yang berguna yang disebut Lembar Curang Pencegahan XXE yang dapat memandu organisasi dalam tugas ini, tambah mereka.
