פגמים ב-API בשוק מקוון של לגו בשימוש נרחב יכלו לאפשר לתוקפים להשתלט על חשבונות משתמשים, להדליף נתונים רגישים המאוחסנים בפלטפורמה, ואפילו לקבל גישה לנתוני ייצור פנימיים כדי לסכן את השירותים הארגוניים, מצאו חוקרים.
חוקרים ממעבדות המלח גילו את הפגיעות ב בריקלינק, פלטפורמת מכירה חוזרת דיגיטלית בבעלות קבוצת לגו על קנייה ומכירה של לגו יד שנייה, מה שמוכיח כי - מבחינה טכנולוגית, בכל מקרה - לא כל חלקי הצעצועים של החברה נצמדים בצורה מושלמת למקומם.
זרוע המחקר של Salt Security גילתה את שתי נקודות התורפה על ידי חקירת אזורים באתר התומכים בשדות קלט משתמשים, חשפה שירן יודב, חוקרת האבטחה של Salts Labs, ב דו"ח פורסם ב-15 בדצמבר.
החוקרים מצאו כל אחד מפגמי הליבה שניתן לנצל לתקיפה בחלקים של האתר המאפשרים קלט משתמשים, שלדבריהם הוא לעתים קרובות מקום שבו בעיות אבטחת API - בעיה מורכבת ויקרה לארגונים - להתעורר.
פגם אחד היה פגיעות של סקריפטים בין-אתרים (XSS) שאפשרה להם להחדיר ולהפעיל קוד במחשב של משתמש קצה נפגע באמצעות קישור בעל מבנה. השני אפשר ביצוע של התקפת הזרקת ישות חיצונית של XML (XXE), שבה קלט XML המכיל הפניה לישות חיצונית מעובד על ידי מנתח XML בעל תצורה חלשה.
חולשות API בשפע
החוקרים הקפידו להדגיש שהם לא התכוונו לייחד את לגו כספקית טכנולוגיה רשלנית במיוחד - להיפך, פגמים ב-API באפליקציות הפונות לאינטרנט הם נפוצים להפליא, לדבריהם.
יש סיבה מרכזית לכך, אומר יודב ל- Dark Reading: ללא קשר ליכולת של צוות עיצוב ופיתוח IT, אבטחת API היא דיסציפלינה חדשה שכל מפתחי ומעצבי האינטרנט עדיין מבינים.
"אנו מוצאים בקלות פגיעויות רציניות מסוג API בכל מיני שירותים מקוונים שאנו חוקרים", הוא אומר. "אפילו לחברות עם כלי אבטחת יישומים החזקים ביותר וצוותי אבטחה מתקדמים יש לעתים קרובות פערים בהיגיון העסקי של ה-API שלהם."
ולמרות שניתן היה לגלות את שני הפגמים בקלות באמצעות בדיקות אבטחה טרום-ייצור, "אבטחת API היא עדיין מחשבה שלאחר מכן עבור ארגונים רבים", מציין סקוט גרלך, מייסד שותף ו-CSO ב-StackHawk, ספקית בדיקות אבטחה API.
"זה בדרך כלל לא נכנס לפעולה עד לאחר פריסת ממשק API, או במקרים אחרים, ארגונים משתמשים בכלים מדור קודם שלא בנויים כדי לבדוק ממשקי API ביסודיות, מה שמותיר פגיעויות כמו סקריפטים חוצי אתרים והתקפות הזרקה בלתי נחשפות", הוא אומר. .
עניין אישי, תגובה מהירה
המחקר לחקור את BrickLink של לגו לא נועד לבייש ולהאשים את לגו או "לגרום למישהו להיראות רע", אלא להדגים "עד כמה שכיחות הטעויות הללו וללמד חברות על צעדים שהן יכולות לנקוט כדי להגן על הנתונים והשירותים העיקריים שלהן", אומר יודב.
קבוצת לגו היא חברת הצעצועים הגדולה בעולם ומותג מוכר מאוד שאכן יכול למשוך את תשומת הלב של אנשים לנושא, אמרו החוקרים. החברה מרוויחה מיליארדי דולרים בהכנסות בשנה, לא רק בגלל העניין של ילדים בשימוש בלגו אלא גם כתוצאה מקהילת חובבים מבוגרים שלמה - שיודב מודה שהוא אחד ממנה - שגם אוספת ובונה ערכות לגו.
בגלל הפופולריות של לגו, ל-BrickLink יש יותר ממיליון חברים שמשתמשים באתר שלה.
החוקרים גילו את הפגמים ב-18 באוקטובר, ויאמר לזכותה שלגו הגיבה במהירות כאשר Salt Security חשפה את הבעיות בפני החברה ב-23 באוקטובר, ואישרה את החשיפה תוך יומיים. בדיקות שנערכו על ידי Salt Labs אישרו זמן קצר לאחר מכן, ב-10 בנובמבר, כי הבעיות נפתרו, אמרו החוקרים.
"עם זאת, בשל המדיניות הפנימית של לגו, הם אינם יכולים לשתף מידע כלשהו בנוגע לפרצות שדווחו, ולכן איננו יכולים לאשר באופן חיובי", מודה יודב. יתרה מכך, מדיניות זו גם מונעת ממעבדות המלח לאשר או להכחיש אם התוקפים ניצלו אחד מהפגמים בטבע, הוא אומר.
מצמידים את הפגיעויות
חוקרים מצאו את פגם ה-XSS בתיבת הדו-שיח "מצא שם משתמש" של פונקציונליות חיפוש הקופונים של BrickLinks, מה שהוביל לשרשרת התקפה באמצעות מזהה הפעלה שנחשף בדף אחר, לדבריהם.
"בתיבת הדו-שיח 'מצא שם משתמש', משתמש יכול לכתוב טקסט חופשי שבסופו של דבר מעובד ב-HTML של דף האינטרנט", כתב יודב. "משתמשים יכולים לעשות שימוש לרעה בשדה הפתוח הזה כדי להזין טקסט שיכול להוביל למצב XSS."
למרות שהחוקרים לא יכלו להשתמש בפגם בעצמו כדי לבצע התקפה, הם מצאו מזהה הפעלה חשוף בדף אחר שהם יכולים לשלב עם פגם ה-XSS כדי לחטוף הפעלה של משתמש ולהשיג השתלטות על חשבון (ATO), הם הסבירו. .
"שחקנים גרועים יכלו להשתמש בטקטיקות האלה להשתלטות מלאה על החשבון או כדי לגנוב נתוני משתמשים רגישים", כתב יודב.
חוקרים חשפו את הפגם השני בחלק אחר של הפלטפורמה שמקבל קלט ישיר של משתמשים, הנקרא "העלה לרשימת המבוקשים", המאפשר למשתמשי BrickLink להעלות רשימה של חלקי לגו ו/או סטים מבוקשים בפורמט XML, לדבריהם.
הפגיעות הייתה קיימת עקב האופן שבו מנתח ה-XML של האתר משתמש ב-XML External Entities, חלק מתקן ה-XML המגדיר מושג שנקרא ישות, או יחידת אחסון מסוג כלשהו, הסביר יודב בפוסט. במקרה של דף BrickLinks, היישום היה חשוף למצב שבו מעבד ה-XML עשוי לחשוף מידע סודי שבדרך כלל אינו נגיש לאפליקציה, כתב.
החוקרים ניצלו את הפגם כדי להפעיל מתקפת הזרקת XXE המאפשרת קריאה של קובץ מערכת עם הרשאות המשתמש הרץ. סוג זה של התקפה יכול גם לאפשר וקטור התקפה נוסף באמצעות זיוף בקשות בצד השרת, מה שעשוי לאפשר לתוקף לקבל אישורים עבור אפליקציה הפועלת בשירותי האינטרנט של אמזון ובכך לפרוץ רשת פנימית, אמרו החוקרים.
הימנעות מפגמי API דומים
חוקרים חלקו כמה עצות שיעזרו לארגונים להימנע מיצירת בעיות API דומות שניתן לנצל באפליקציות הפונות לאינטרנט בסביבות שלהם.
במקרה של פרצות API, תוקפים יכולים להסב את הנזק הרב ביותר אם הם משלבים התקפות בנושאים שונים או מבצעים אותן ברצף מהיר, כתב יודב, דבר שהחוקרים הוכיחו הוא המקרה עם פגמי הלגו.
כדי להימנע מהתרחיש שנוצר עם פגם ה-XSS, ארגונים צריכים לפעול לפי כלל האצבע "לעולם לא לסמוך על קלט משתמש", כתב יודב. "יש לחטא את הקלט כראוי ולהימלט", הוא הוסיף, והפנה לארגונים ל-XSS Prevention Cheat Sheet של פתח את יישום האבטחה של יישום האינטרנט (OWASP) למידע נוסף בנושא זה.
ארגונים צריכים גם להיות זהירים בהטמעתם של מזהה הפעלה באתרים הפונים לאינטרנט מכיוון שהוא "מטרה נפוצה להאקרים", שיכולים למנף אותו לחטיפת הפעלה והשתלטות על חשבון, כתב יודב.
"חשוב להיות זהיר מאוד בטיפול בו ולא לחשוף או לעשות בו שימוש לרעה למטרות אחרות", הסביר.
לבסוף, הדרך הקלה ביותר לעצור התקפות הזרקת XXE כמו זו שהדגימו החוקרים היא להשבית לחלוטין ישויות חיצוניות בתצורת מנתח ה-XML שלך, אמרו החוקרים. ל-OWASP יש משאב שימושי נוסף בשם XXE Prevention Cheat Sheet שיכול להנחות ארגונים במשימה זו, הם הוסיפו.
