広く使用されている Lego オンライン マーケットプレイスの API の欠陥により、攻撃者がユーザー アカウントを乗っ取り、プラットフォームに保存されている機密データを漏えいさせ、さらには社内の生産データにアクセスして企業サービスを侵害する可能性があったことが、研究者によって発見されました。
Salt Labs の研究者は、脆弱性を発見しました。 ブリックリンク、所有するデジタル再販プラットフォーム レゴグループ 中古のレゴを売買したことで、技術的にはとにかく、同社のおもちゃの部品のすべてが完全に所定の位置に収まるわけではない.
Salt Security の研究部門は、ユーザー入力フィールドをサポートするサイトの領域を調査することで両方の脆弱性を発見しました。Salts Labs のセキュリティ研究者 Shiran Yodev は、 レポート 15月XNUMX日に公開されました。
研究者は、ユーザー入力を可能にするサイトの一部で、攻撃に悪用される可能性のあるコア欠陥のそれぞれを発見しました。彼らは、多くの場合、API セキュリティの問題が発生する場所であると述べました。 複雑で費用のかかる問題 組織のために—起きます。
XNUMX つの欠陥はクロスサイト スクリプティング (XSS) の脆弱性であり、巧妙に細工されたリンクを介して被害者のエンド ユーザーのマシンにコードを挿入して実行できるようになった、と彼らは述べています。 もう XNUMX つは、XML 外部エンティティ (XXE) インジェクション攻撃の実行を可能にしました。この攻撃では、外部エンティティへの参照を含む XML 入力が、構成の弱い XML パーサーによって処理されます。
API の弱点が山積み
研究者たちは、特に怠慢なテクノロジー プロバイダーとしてレゴを選び出すつもりはなかったことを強調するように注意を払いました。逆に、インターネットに接続されたアプリケーションの API の欠陥は信じられないほど一般的である、と彼らは言いました。
それには主な理由がある、と Yodev は Dark Reading に語った: IT 設計および開発チームの能力に関係なく、 APIセキュリティ は、すべての Web 開発者とデザイナーがまだ理解している新しい分野です。
「私たちが調査しているあらゆる種類のオンライン サービスで、この種の重大な API の脆弱性がすぐに見つかります」と彼は言います。 「最も堅牢なアプリケーション セキュリティ ツールと高度なセキュリティ チームを備えた企業でさえ、API ビジネス ロジックにギャップがあることがよくあります。」
どちらの欠陥も本番前のセキュリティ テストで簡単に発見できたかもしれませんが、API セキュリティ テスト プロバイダーである StackHawk の共同創設者兼 CSO である Scott Gerlach 氏は次のように述べています。
「通常、API がすでに展開されるまで問題が発生することはありません。または、組織が API を完全にテストするように構築されていないレガシー ツールを使用しているため、クロスサイト スクリプティングやインジェクション攻撃などの脆弱性が発見されないままになっている場合もあります」と彼は言います。 .
個人的な興味、迅速な対応
レゴのブリックリンクを調査するための調査は、レゴを恥じて非難したり、「誰かを悪く見せる」ことを意図したものではなく、むしろ「これらの間違いがどれほど一般的であるかを示し、重要なデータとサービスを保護するために実行できる手順について企業を教育すること」を目的としていました。ヨーデフは言います。
レゴ グループは世界最大の玩具会社であり、この問題に人々の注目を集めることができる非常に認知度の高いブランドである、と研究者は述べています。 同社は年間数十億ドルの収益を上げています。これは、子供たちがレゴを使用することに興味を持っているためだけでなく、大人の愛好家コミュニティ全体 (Yodev もその XNUMX つであると認めています) がレゴ セットを収集して組み立てた結果でもあります。
レゴの人気により、BrickLink のサイトを利用するメンバーは 1 万人を超えています。
研究者は 18 月 23 日に欠陥を発見し、10 月 XNUMX 日に Salt Security が会社に問題を明らかにしたとき、Lego は迅速に対応し、XNUMX 日以内に開示を確認しました。 Salt Labs が実施したテストでは、XNUMX 月 XNUMX 日に問題が解決されたことが確認された、と研究者は述べています。
「しかし、Lego の内部ポリシーにより、報告された脆弱性に関する情報を共有することはできません。したがって、積極的に確認することはできません」と Yodev 氏は認めています。 さらに、このポリシーは、攻撃者がいずれかの脆弱性を実際に悪用したかどうかを、Salt Labs が確認または否定することも防止します、と彼は言います。
脆弱性をまとめる
研究者は、BrickLinks のクーポン検索機能の [ユーザー名の検索] ダイアログ ボックスで XSS の欠陥を発見し、別のページで公開されたセッション ID を使用した攻撃チェーンにつながったと彼らは述べています。
「[ユーザー名の検索] ダイアログ ボックスで、ユーザーは自由なテキストを書くことができ、最終的には Web ページの HTML にレンダリングされます」と Yodev は書いています。 「ユーザーはこのオープン フィールドを悪用して、XSS 状態につながる可能性のあるテキストを入力できます。」
研究者はこの欠陥を単独で使用して攻撃を開始することはできませんでしたが、別のページで公開されたセッション ID を発見し、それを XSS の欠陥と組み合わせてユーザーのセッションをハイジャックし、アカウントの乗っ取り (ATO) を達成できると彼らは説明しました。 .
「悪意のある人物がこれらの戦術を使用して、アカウントを完全に乗っ取ったり、ユーザーの機密データを盗んだりする可能性があります」と Yodev は書いています。
研究者は、直接ユーザー入力を受け取るプラットフォームの別の部分で、「Upload to Wanted List」と呼ばれる XNUMX 番目の欠陥を発見しました。これにより、BrickLink ユーザーは、必要なレゴ パーツやセットのリストを XML 形式でアップロードできます。
サイトの XML パーサーが XML 外部エンティティ (エンティティと呼ばれる概念を定義する XML 標準の一部、または何らかのタイプのストレージ ユニット) を使用する方法が原因で、この脆弱性が存在していたと Yodev は投稿で説明しました。 BrickLinks ページの場合、実装は、アプリケーションが通常アクセスできない機密情報を XML プロセッサが開示する可能性がある状態に対して脆弱である、と彼は書いています。
研究者はこの欠陥を悪用して、実行中のユーザーの権限でシステム ファイルを読み取ることを可能にする XXE インジェクション攻撃を開始しました。 このタイプの攻撃は、サーバー側のリクエスト フォージェリを使用した追加の攻撃ベクトルを可能にする可能性もあり、これにより、攻撃者はアマゾン ウェブ サービスで実行されているアプリケーションの認証情報を取得し、内部ネットワークを侵害できる可能性がある、と研究者は述べています。
同様の API の欠陥を回避する
研究者は、企業が自身の環境でインターネットに接続されたアプリケーションで悪用される可能性のある同様の API の問題を作成しないようにするためのいくつかのアドバイスを共有しました。
API の脆弱性の場合、攻撃者はさまざまな問題に対して攻撃を組み合わせたり、立て続けに実行したりすると、最大の損害を与えることができる、と Yodev は書いています。
XSS の欠陥によって作成されたシナリオを回避するには、組織は「ユーザー入力を決して信頼しない」という経験則に従う必要があります、と Yodev は書いています。 「入力は適切にサニタイズしてエスケープする必要があります」 オープンWebアプリケーションセキュリティプロジェクト (OWASP) このトピックの詳細については。
Yodev 氏によると、セッション ID は、セッションのハイジャックやアカウントの乗っ取りに利用できる「ハッカーの一般的な標的」であるため、Web サイトにセッション ID を実装する際にも注意が必要です。
「取り扱いには細心の注意を払い、他の目的にさらしたり悪用したりしないことが重要です」と彼は説明しました。
最後に、研究者が実証したような XXE インジェクション攻撃を阻止する最も簡単な方法は、XML パーサーの構成で外部エンティティを完全に無効にすることである、と研究者は述べています。 OWASP には、このタスクで組織を導くことができる XXE 防止チート シートと呼ばれる別の有用なリソースがある、と彼らは付け加えました。
