API-fouten in een veelgebruikte online Lego-marktplaats hadden aanvallers in staat kunnen stellen gebruikersaccounts over te nemen, gevoelige gegevens op het platform te lekken en zelfs toegang te krijgen tot interne productiegegevens om bedrijfsdiensten in gevaar te brengen, hebben onderzoekers ontdekt.
Onderzoekers van Salt Labs ontdekten de kwetsbaarheden in Bricklink, een digitaal wederverkoopplatform dat eigendom is van de Lego-groep voor het kopen en verkopen van tweedehands Lego's, wat aantoont dat - in ieder geval technologisch gezien - niet alle speelgoedstukken van het bedrijf perfect op hun plaats klikken.
De onderzoeksafdeling van Salt Security ontdekte beide kwetsbaarheden door delen van de site te onderzoeken die invoervelden van gebruikers ondersteunen, onthulde Shiran Yodev, beveiligingsonderzoeker van Salts Labs, in een rapport gepubliceerd op 15 december.
De onderzoekers vonden elk van de kernfouten die kunnen worden misbruikt voor aanvallen in delen van de site die gebruikersinvoer mogelijk maken, waarvan ze zeiden dat dit vaak een plaats is waar API-beveiligingsproblemen zijn - een complex en kostbaar probleem voor organisaties โ ontstaan.
Een fout was een cross-site scripting (XSS) kwetsbaarheid waardoor ze code konden injecteren en uitvoeren op de computer van een slachtoffer-eindgebruiker via een vervaardigde link, zeiden ze. De andere maakte de uitvoering van een XML External Entity (XXE) injectie-aanval mogelijk, waarbij een XML-invoer met een verwijzing naar een externe entiteit wordt verwerkt door een zwak geconfigureerde XML-parser.
API-zwakheden zijn er in overvloed
De onderzoekers benadrukten voorzichtig dat het niet hun bedoeling was om Lego te noemen als een bijzonder nalatige technologieleverancier - integendeel, API-fouten in internetgerichte applicaties komen ongelooflijk vaak voor, zeiden ze.
Daar is een belangrijke reden voor, vertelt Yodev aan Dark Reading: Ongeacht de competentie van een IT-ontwerp- en ontwikkelteam, API-beveiliging is een nieuwe discipline die alle webontwikkelaars en ontwerpers nog steeds aan het uitzoeken zijn.
"We vinden dit soort ernstige API-kwetsbaarheden gemakkelijk in allerlei online services die we onderzoeken", zegt hij. "Zelfs bedrijven met de meest robuuste tooling voor applicatiebeveiliging en geavanceerde beveiligingsteams hebben vaak hiaten in hun API-bedrijfslogica."
En hoewel beide fouten gemakkelijk ontdekt hadden kunnen worden door middel van pre-productie beveiligingstests, "API-beveiliging is nog steeds een bijzaak voor veel organisaties", zegt Scott Gerlach, mede-oprichter en CSO bij StackHawk, een aanbieder van API-beveiligingstests.
"Meestal begint het pas nadat een API al is geรฏmplementeerd, of in andere gevallen gebruiken organisaties verouderde tooling die niet is gebouwd om API's grondig te testen, waardoor kwetsbaarheden zoals cross-site scripting en injectie-aanvallen onontdekt blijven", zegt hij. .
Persoonlijk belang, snelle reactie
Het onderzoek om Lego's BrickLink te onderzoeken was niet bedoeld om Lego te schande te maken en de schuld te geven of "iemand er slecht uit te laten zien", maar eerder om aan te tonen "hoe vaak deze fouten voorkomen en om bedrijven te informeren over stappen die ze kunnen nemen om hun belangrijkste gegevens en diensten te beschermen". zegt Yodev.
De Lego Group is 's werelds grootste speelgoedbedrijf en een enorm herkenbaar merk dat inderdaad de aandacht van mensen op het probleem kan vestigen, aldus de onderzoekers. Het bedrijf verdient miljarden dollars aan inkomsten per jaar, niet alleen vanwege de interesse van kinderen in het gebruik van Lego, maar ook als gevolg van een hele volwassen hobbyistengemeenschap - waarvan Yodev toegeeft dat hij er een is - die ook Lego-sets verzamelt en bouwt.
Vanwege de populariteit van Lego heeft BrickLink meer dan 1 miljoen leden die de site gebruiken.
De onderzoekers ontdekten de gebreken op 18 oktober en het strekt tot eer dat Lego snel reageerde toen Salt Security de problemen op 23 oktober aan het bedrijf onthulde en de onthulling binnen twee dagen bevestigde. Tests uitgevoerd door Salt Labs bevestigden kort daarna, op 10 november, dat de problemen waren opgelost, aldus de onderzoekers.
"Vanwege het interne beleid van Lego kunnen ze echter geen informatie over gemelde kwetsbaarheden delen, en daarom kunnen we dit niet positief bevestigen", erkent Yodev. Bovendien verhindert dit beleid ook dat Salt Labs bevestigt of ontkent of aanvallers een van de fouten in het wild hebben uitgebuit, zegt hij.
De kwetsbaarheden samenvoegen
Onderzoekers vonden de XSS-fout in het dialoogvenster 'Gebruikersnaam zoeken' van de couponzoekfunctie van BrickLinks, wat leidde tot een aanvalsketen met behulp van een sessie-ID die op een andere pagina werd weergegeven, zeiden ze.
"In het dialoogvenster 'Gebruikersnaam zoeken' kan een gebruiker een vrije tekst schrijven die uiteindelijk wordt weergegeven in de HTML van de webpagina", schreef Yodev. "Gebruikers kunnen dit open veld misbruiken om tekst in te voeren die kan leiden tot een XSS-conditie."
Hoewel de onderzoekers de fout op zichzelf niet konden gebruiken om een โโaanval uit te voeren, vonden ze een blootgestelde sessie-ID op een andere pagina die ze konden combineren met de XSS-fout om de sessie van een gebruiker te kapen en accountovername (ATO) te bereiken, legden ze uit. .
"Slechte acteurs hadden deze tactieken kunnen gebruiken voor volledige accountovername of om gevoelige gebruikersgegevens te stelen", schreef Yodev.
Onderzoekers ontdekten de tweede fout in een ander deel van het platform dat directe gebruikersinvoer ontvangt, genaamd "Upload to Wanted List", waarmee BrickLink-gebruikers een lijst met gezochte Lego-onderdelen en / of sets in XML-formaat kunnen uploaden, zeiden ze.
De kwetsbaarheid was aanwezig vanwege de manier waarop de XML-parser van de site XML External Entities gebruikt, een onderdeel van de XML-standaard die een concept definieert dat een entiteit wordt genoemd, of een opslageenheid van een bepaald type, legde Yodev uit in de post. In het geval van de BrickLinks-pagina was de implementatie kwetsbaar voor een situatie waarin de XML-processor vertrouwelijke informatie vrijgeeft die doorgaans niet toegankelijk is voor de applicatie, schreef hij.
Onderzoekers misbruikten de fout om een โโXXE-injectieaanval uit te voeren waarmee een systeembestand kan worden gelezen met de machtigingen van de actieve gebruiker. Dit type aanval kan ook een extra aanvalsvector mogelijk maken met behulp van server-side verzoekvervalsing, waardoor een aanvaller inloggegevens kan verkrijgen voor een applicatie die op Amazon Web Services draait en zo een intern netwerk kan doorbreken, aldus de onderzoekers.
Soortgelijke API-fouten vermijden
Onderzoekers deelden wat advies om bedrijven te helpen soortgelijke API-problemen te voorkomen die kunnen worden uitgebuit op internetgerichte applicaties in hun eigen omgevingen.
In het geval van API-kwetsbaarheden kunnen aanvallers de meeste schade aanrichten als ze aanvallen op verschillende problemen combineren of ze snel achter elkaar uitvoeren, schreef Yodev, iets wat de onderzoekers aantoonden, is het geval met de Lego-fouten.
Om het scenario te voorkomen dat is gecreรซerd met de XSS-fout, moeten organisaties de vuistregel volgen "om nooit gebruikersinvoer te vertrouwen", schreef Yodev. "Input moet goed worden ontsmet en ontsnapt", voegde hij eraan toe, verwijzend naar de XSS Prevention Cheat Sheet van de Beveiligingsproject voor webtoepassingen openen (OWASP) voor meer informatie over dit onderwerp.
Organisaties moeten ook voorzichtig zijn bij het implementeren van sessie-ID op webgerichte sites, omdat het "een veelvoorkomend doelwit is voor hackers", die het kunnen gebruiken voor het kapen van sessies en het overnemen van accounts, schreef Yodev.
"Het is belangrijk om heel voorzichtig te zijn bij het hanteren ervan en het niet bloot te stellen of te misbruiken voor andere doeleinden", legde hij uit.
Ten slotte is de gemakkelijkste manier om XXE-injectieaanvallen te stoppen, zoals de onderzoekers hebben aangetoond, het volledig uitschakelen van externe entiteiten in de configuratie van uw XML-parser, aldus de onderzoekers. De OWASP heeft nog een andere nuttige bron, de XXE Prevention Cheat Sheet, die organisaties bij deze taak kan begeleiden, voegde ze eraan toe.
