널리 사용되는 레고 온라인 마켓플레이스의 API 결함으로 인해 공격자가 사용자 계정을 탈취하고 플랫폼에 저장된 민감한 데이터를 유출하고 내부 생산 데이터에 액세스하여 기업 서비스를 손상시킬 수 있다고 연구원들이 발견했습니다.
Salt Labs의 연구원들은 브릭 링크, 소유한 디지털 재판매 플랫폼 레고 그룹 중고 레고를 사고 팔기 위해, 어쨌든 기술적으로는 회사의 모든 장난감 조각이 완벽하게 제자리에 고정되지는 않는다는 것을 보여줍니다.
Salt Security의 연구 부서는 사용자 입력 필드를 지원하는 사이트 영역을 조사하여 두 가지 취약점을 모두 발견했다고 Salts Labs 보안 연구원인 Shiran Yodev는 보고서 15월 XNUMX일 발표.
연구원들은 사용자 입력을 허용하는 사이트의 일부에서 공격에 악용될 수 있는 각각의 핵심 결함을 발견했습니다. 그들은 종종 API 보안 문제가 발생하는 곳이라고 말했습니다. 복잡하고 비용이 많이 드는 문제 조직을 위해 — 일어나십시오.
한 가지 결함은 만들어진 링크를 통해 피해자 최종 사용자의 컴퓨터에 코드를 주입하고 실행할 수 있는 XSS(교차 사이트 스크립팅) 취약점이라고 그들은 말했습니다. 다른 하나는 XXE(XML External Entity) 주입 공격 실행을 허용했습니다. 여기서 외부 엔터티에 대한 참조를 포함하는 XML 입력은 약하게 구성된 XML 구문 분석기에 의해 처리됩니다.
API 약점이 많다
연구원들은 특히 부주의한 기술 제공업체로 레고를 지목할 의도가 없다는 점을 강조하는 데 주의를 기울였습니다. 반대로 인터넷에 연결된 애플리케이션의 API 결함은 엄청나게 흔하다고 그들은 말했습니다.
Yodev는 Dark Reading에 중요한 이유가 있다고 말합니다.: IT 설계 및 개발팀의 역량과 상관없이 API 보안 모든 웹 개발자와 디자이너가 여전히 파악하고 있는 새로운 분야입니다.
"우리가 조사하는 모든 종류의 온라인 서비스에서 이러한 종류의 심각한 API 취약점을 쉽게 발견할 수 있습니다."라고 그는 말합니다. "가장 강력한 애플리케이션 보안 도구와 고급 보안 팀을 보유한 회사도 API 비즈니스 로직에 차이가 있는 경우가 많습니다."
그리고 두 결함 모두 생산 전 보안 테스트를 통해 쉽게 발견될 수 있었지만 API 보안 테스트 제공업체인 StackHawk의 공동 창립자이자 CSO인 Scott Gerlach는 "API 보안은 여전히 많은 조직에서 사후 고려 사항입니다."라고 말합니다.
"일반적으로 API가 이미 배포된 후에야 작동합니다. 또는 다른 경우 조직에서 API를 철저히 테스트하도록 구축되지 않은 레거시 도구를 사용하여 교차 사이트 스크립팅 및 주입 공격과 같은 취약점을 발견하지 못하고 있습니다."라고 그는 말합니다. .
개인적 관심, 신속한 대응
Lego의 BrickLink를 조사하기 위한 연구는 Lego를 부끄럽게 하거나 비난하거나 "누군가를 나쁘게 보이게" 하기 위한 것이 아니라 "이러한 실수가 얼마나 흔한지 보여주고 주요 데이터와 서비스를 보호하기 위해 취할 수 있는 조치에 대해 회사를 교육하기 위한 것"입니다. 요데브는 말한다.
레고 그룹은 세계 최대의 장난감 회사이자 실제로 사람들의 관심을 이 문제로 끌 수 있는 인지도 높은 브랜드라고 연구원들은 말했습니다. 이 회사는 레고 사용에 대한 아이들의 관심 때문만이 아니라 전체 성인 취미 커뮤니티(요데브도 자신도 그 중 하나임을 인정함)의 결과로 매년 수십억 달러의 수익을 올리고 있습니다.
Legos의 인기로 인해 BrickLink는 사이트를 사용하는 회원이 1만 명이 넘습니다.
연구원들은 18월 23일에 결함을 발견했고, 10월 XNUMX일 Salt Security가 회사에 문제를 공개했을 때 Lego는 신속하게 대응하여 XNUMX일 이내에 공개를 확인했습니다. Salt Labs에서 수행한 테스트에서 XNUMX월 XNUMX일 직후 문제가 해결되었음을 확인했다고 연구원들이 말했습니다.
"하지만 Lego의 내부 정책으로 인해 보고된 취약점에 대한 정보를 공유할 수 없으므로 긍정적으로 확인할 수 없습니다."라고 Yodev는 인정합니다. 또한 이 정책은 Salt Labs가 공격자가 실제 결함 중 하나를 악용했는지 여부를 확인하거나 거부하는 것을 방지한다고 그는 말합니다.
취약점을 함께 스냅
연구원들은 BrickLinks 쿠폰 검색 기능의 "사용자 이름 찾기" 대화 상자에서 XSS 결함을 발견했으며, 이는 다른 페이지에 노출된 세션 ID를 사용하는 공격 체인으로 이어진다고 밝혔습니다.
"'사용자 이름 찾기' 대화 상자에서 사용자는 결국 웹 페이지의 HTML로 렌더링되는 자유 텍스트를 작성할 수 있습니다."라고 Yodev는 썼습니다. "사용자는 이 열린 필드를 악용하여 XSS 상태로 이어질 수 있는 텍스트를 입력할 수 있습니다."
연구원들은 이 결함을 자체적으로 사용하여 공격을 수행할 수는 없지만 다른 페이지에서 노출된 세션 ID를 발견했으며 XSS 결함과 결합하여 사용자 세션을 하이재킹하고 계정 탈취(ATO)를 달성할 수 있다고 설명했습니다. .
Yodev는 “나쁜 행위자는 전체 계정을 탈취하거나 민감한 사용자 데이터를 훔치기 위해 이러한 전술을 사용할 수 있습니다.
연구원들은 BrickLink 사용자가 XML 형식으로 원하는 레고 부품 및/또는 세트 목록을 업로드할 수 있는 "구함 목록에 업로드"라는 직접적인 사용자 입력을 받는 플랫폼의 다른 부분에서 두 번째 결함을 발견했다고 말했습니다.
이 취약점은 사이트의 XML 파서가 XML 외부 엔티티(엔티티라고 하는 개념을 정의하는 XML 표준의 일부 또는 일부 유형의 저장 단위)를 사용하는 방식 때문에 존재했다고 Yodev는 게시물에서 설명했습니다. BrickLinks 페이지의 경우 XML 프로세서가 일반적으로 응용 프로그램에서 액세스할 수 없는 기밀 정보를 공개할 수 있는 조건에 구현이 취약하다고 그는 썼습니다.
연구원들은 실행 중인 사용자의 권한으로 시스템 파일 읽기를 허용하는 XXE 주입 공격을 마운트하기 위해 이 결함을 악용했습니다. 이러한 유형의 공격은 또한 서버 측 요청 위조를 사용하는 추가 공격 벡터를 허용할 수 있으며, 이를 통해 공격자는 Amazon Web Services에서 실행되는 애플리케이션에 대한 자격 증명을 획득하여 내부 네트워크를 위반할 수 있다고 연구원들은 말했습니다.
유사한 API 결함 방지
연구원들은 기업이 자체 환경의 인터넷 연결 애플리케이션에서 악용될 수 있는 유사한 API 문제를 생성하지 않도록 돕는 몇 가지 조언을 공유했습니다.
API 취약점의 경우 공격자가 다양한 문제에 대한 공격을 결합하거나 빠르게 연속적으로 수행하면 가장 큰 피해를 입힐 수 있다고 Yodev는 연구원이 시연한 것이 Lego 결함의 경우라고 썼습니다.
XSS 결함으로 생성된 시나리오를 피하기 위해 조직은 "사용자 입력을 절대 신뢰하지 않는다"는 경험 법칙을 따라야 한다고 Yodev는 썼습니다. "입력은 적절하게 위생 처리되고 탈출되어야 합니다." 오픈 웹 애플리케이션 보안 프로젝트 (OWASP)에서 이 주제에 대한 자세한 내용을 참조하십시오.
또한 조직은 세션 하이재킹 및 계정 탈취에 활용할 수 있는 "해커의 일반적인 목표"이기 때문에 웹 대면 사이트에서 세션 ID를 구현하는 데 주의해야 한다고 Yodev는 썼습니다.
"취급할 때 매우 조심하고 다른 목적으로 노출하거나 오용하지 않는 것이 중요합니다."라고 그는 설명했습니다.
마지막으로 연구원들이 시연한 것과 같은 XXE 주입 공격을 막는 가장 쉬운 방법은 XML 파서 구성에서 외부 엔티티를 완전히 비활성화하는 것이라고 연구원들은 말했습니다. OWASP에는 이 작업에서 조직을 안내할 수 있는 XXE 예방 치트 시트라는 또 다른 유용한 리소스가 있다고 그들은 덧붙였습니다.
