I difetti delle API in un mercato online Lego ampiamente utilizzato avrebbero potuto consentire agli aggressori di impossessarsi degli account utente, far trapelare dati sensibili archiviati sulla piattaforma e persino ottenere l'accesso ai dati di produzione interna per compromettere i servizi aziendali, hanno scoperto i ricercatori.
I ricercatori di Salt Labs hanno scoperto le vulnerabilità in BrickLink, una piattaforma di rivendita digitale di proprietà di il Gruppo Lego per l'acquisto e la vendita di Lego di seconda mano, dimostrando che - dal punto di vista tecnologico, comunque - non tutti i pezzi di giocattoli dell'azienda si incastrano perfettamente al loro posto.
Il braccio di ricerca di Salt Security ha scoperto entrambe le vulnerabilità indagando sulle aree del sito che supportano i campi di input degli utenti, ha rivelato Shiran Yodev, ricercatore di sicurezza di Salts Labs, in una relazione pubblicato il 15 dicembre.
I ricercatori hanno scoperto ciascuno dei principali difetti che potrebbero essere sfruttati per l'attacco in parti del sito che consentono l'input dell'utente, che secondo loro è spesso un luogo in cui i problemi di sicurezza delle API — un problema complesso e costoso per le organizzazioni — sorgere.
Un difetto era una vulnerabilità cross-site scripting (XSS) che consentiva loro di iniettare ed eseguire codice sulla macchina di un utente finale vittima attraverso un collegamento predisposto, hanno affermato. L'altro consentiva l'esecuzione di un attacco di iniezione XML External Entity (XXE), in cui un input XML contenente un riferimento a un'entità esterna viene elaborato da un parser XML configurato in modo debole.
Le debolezze dell'API abbondano
I ricercatori sono stati attenti a sottolineare che non intendevano individuare Lego come un fornitore di tecnologia particolarmente negligente - al contrario, i difetti delle API nelle applicazioni rivolte a Internet sono incredibilmente comuni, hanno affermato.
C'è una ragione fondamentale per questo, dice Yodev a Dark Reading: Indipendentemente dalla competenza di un team di progettazione e sviluppo IT, Sicurezza API è una nuova disciplina che tutti gli sviluppatori e designer Web stanno ancora studiando.
"Troviamo prontamente questo tipo di gravi vulnerabilità API in tutti i tipi di servizi online su cui indaghiamo", afferma. "Anche le aziende con gli strumenti di sicurezza delle applicazioni più solidi e i team di sicurezza avanzati spesso presentano lacune nella loro logica di business delle API".
E mentre entrambi i difetti avrebbero potuto essere scoperti facilmente attraverso i test di sicurezza pre-produzione, "la sicurezza delle API è ancora un ripensamento per molte organizzazioni", osserva Scott Gerlach, co-fondatore e CSO di StackHawk, un fornitore di test di sicurezza delle API.
"Di solito non entra in gioco fino a quando un'API non è già stata implementata o, in altri casi, le organizzazioni utilizzano strumenti legacy non creati per testare a fondo le API, lasciando sconosciute vulnerabilità come il cross-site scripting e gli attacchi injection", afferma .
Interesse personale, risposta rapida
La ricerca per indagare su BrickLink di Lego non aveva lo scopo di far vergognare e incolpare Lego o "far sembrare cattivo qualcuno", ma piuttosto di dimostrare "quanto siano comuni questi errori e di istruire le aziende sui passi che possono intraprendere per proteggere i loro dati e servizi chiave". dice Yodev.
Il gruppo Lego è la più grande azienda di giocattoli al mondo e un marchio estremamente riconoscibile che può davvero attirare l'attenzione della gente sul problema, hanno affermato i ricercatori. L'azienda guadagna miliardi di dollari di entrate all'anno, non solo per l'interesse dei bambini nell'uso dei Lego, ma anche come risultato di un'intera comunità di hobbisti adulti - di cui Yodev ammette di essere uno - che raccoglie e costruisce anche set di Lego.
A causa della popolarità dei Lego, BrickLink ha più di 1 milione di membri che utilizzano il suo sito.
I ricercatori hanno scoperto i difetti il 18 ottobre e, a suo merito, Lego ha risposto rapidamente quando Salt Security ha rivelato i problemi alla società il 23 ottobre, confermando la divulgazione entro due giorni. I test condotti da Salt Labs hanno confermato poco dopo, il 10 novembre, che i problemi erano stati risolti, hanno affermato i ricercatori.
"Tuttavia, a causa della politica interna di Lego, non possono condividere alcuna informazione relativa alle vulnerabilità segnalate e quindi non siamo in grado di confermare positivamente", riconosce Yodev. Inoltre, questa politica impedisce anche a Salt Labs di confermare o negare se gli aggressori hanno sfruttato uno dei difetti in natura, afferma.
Mettere insieme le vulnerabilità
I ricercatori hanno trovato il difetto XSS nella finestra di dialogo "Trova nome utente" della funzionalità di ricerca coupon di BrickLinks, portando a una catena di attacchi utilizzando un ID di sessione esposto su una pagina diversa, hanno affermato.
"Nella finestra di dialogo 'Trova nome utente', un utente può scrivere un testo libero che alla fine viene visualizzato nell'HTML della pagina web", ha scritto Yodev. "Gli utenti possono abusare di questo campo aperto per inserire testo che può portare a una condizione XSS."
Sebbene i ricercatori non potessero utilizzare il difetto da solo per lanciare un attacco, hanno trovato un ID di sessione esposto su una pagina diversa che potevano combinare con il difetto XSS per dirottare la sessione di un utente e ottenere il controllo dell'account (ATO), hanno spiegato .
"Gli attori malintenzionati avrebbero potuto utilizzare queste tattiche per il controllo completo dell'account o per rubare i dati sensibili degli utenti", ha scritto Yodev.
I ricercatori hanno scoperto il secondo difetto in un'altra parte della piattaforma che riceve l'input diretto dell'utente, chiamato "Carica nell'elenco dei ricercati", che consente agli utenti di BrickLink di caricare un elenco di parti e/o set Lego ricercati in formato XML, hanno affermato.
La vulnerabilità era presente a causa del modo in cui il parser XML del sito utilizza XML External Entities, una parte dello standard XML che definisce un concetto chiamato entità o un'unità di archiviazione di qualche tipo, ha spiegato Yodev nel post. Nel caso della pagina BrickLinks, l'implementazione era vulnerabile a una condizione in cui il processore XML potrebbe divulgare informazioni riservate che in genere non sono accessibili dall'applicazione, ha scritto.
I ricercatori hanno sfruttato la falla per montare un attacco XXE injection che consente la lettura di un file di sistema con le autorizzazioni dell'utente in esecuzione. Questo tipo di attacco può anche consentire un ulteriore vettore di attacco utilizzando la contraffazione delle richieste lato server, che potrebbe consentire a un utente malintenzionato di ottenere le credenziali per un'applicazione in esecuzione su Amazon Web Services e quindi violare una rete interna, hanno affermato i ricercatori.
Evitare difetti API simili
I ricercatori hanno condiviso alcuni consigli per aiutare le aziende a evitare di creare problemi API simili che possono essere sfruttati su applicazioni rivolte a Internet nei propri ambienti.
Nel caso delle vulnerabilità delle API, gli aggressori possono infliggere il maggior danno se combinano attacchi su vari problemi o li conducono in rapida successione, ha scritto Yodev, qualcosa che i ricercatori hanno dimostrato è il caso dei difetti di Lego.
Per evitare lo scenario creato con il difetto XSS, le organizzazioni dovrebbero seguire la regola empirica "non fidarsi mai dell'input dell'utente", ha scritto Yodev. "L'input dovrebbe essere adeguatamente disinfettato e sfuggito", ha aggiunto, riferendo le organizzazioni all'XSS Prevention Cheat Sheet del Apri il progetto di sicurezza delle applicazioni Web (OWASP) per ulteriori informazioni su questo argomento.
Le organizzazioni dovrebbero anche fare attenzione nell'implementazione dell'ID di sessione sui siti Web perché è "un obiettivo comune per gli hacker", che possono sfruttarlo per il dirottamento della sessione e il controllo dell'account, ha scritto Yodev.
"È importante fare molta attenzione quando lo si maneggia e non esporlo o utilizzarlo impropriamente per altri scopi", ha spiegato.
Infine, il modo più semplice per fermare gli attacchi XXE injection come quello dimostrato dai ricercatori è disabilitare completamente le entità esterne nella configurazione del tuo parser XML, hanno affermato i ricercatori. L'OWASP ha un'altra risorsa utile chiamata XXE Prevention Cheat Sheet che può guidare le organizzazioni in questo compito, hanno aggiunto.
- blockchain
- portafogli di criptovaluta
- cryptoexchange
- sicurezza informatica
- i criminali informatici
- Cybersecurity
- Lettura oscura
- Dipartimento di Sicurezza Nazionale
- portafogli digitali
- firewall
- Kaspersky
- il malware
- Mcafee
- NextBLOC
- Platone
- platone ai
- Platone Data Intelligence
- Gioco di Platone
- PlatoneDati
- gioco di plato
- VPN
- sicurezza del sito Web
