Falhas de API em um mercado on-line Lego amplamente usado podem permitir que invasores assumam contas de usuários, vazem dados confidenciais armazenados na plataforma e até obtenham acesso a dados de produção interna para comprometer serviços corporativos, descobriram pesquisadores.
Pesquisadores do Salt Labs descobriram as vulnerabilidades em Bricklink, uma plataforma de revenda digital de propriedade da o Grupo Lego para comprar e vender Legos de segunda mão, demonstrando que - pelo menos em termos de tecnologia - nem todas as peças de brinquedo da empresa se encaixam perfeitamente no lugar.
O braço de pesquisa da Salt Security descobriu ambas as vulnerabilidades investigando áreas do site que suportam campos de entrada do usuário, Shiran Yodev, pesquisador de segurança do Salts Labs, revelou em um relatório publicado em 15 de dezembro.
Os pesquisadores encontraram cada uma das principais falhas que podem ser exploradas para ataques em partes do site que permitem a entrada do usuário, que, segundo eles, costuma ser um local onde os problemas de segurança da API - um problema complexo e caro para organizações — surgem.
Uma falha era uma vulnerabilidade de cross-site scripting (XSS) que lhes permitia injetar e executar código na máquina do usuário final da vítima por meio de um link criado, disseram eles. O outro permitia a execução de um ataque de injeção XML External Entity (XXE), onde uma entrada XML contendo uma referência a uma entidade externa é processada por um analisador XML mal configurado.
As fraquezas da API são abundantes
Os pesquisadores tiveram o cuidado de enfatizar que não pretendiam destacar a Lego como um fornecedor de tecnologia particularmente negligente - pelo contrário, falhas de API em aplicativos voltados para a Internet são incrivelmente comuns, disseram eles.
Há uma razão fundamental para isso, Yodev diz Dark Reading: Não importa a competência de uma equipe de design e desenvolvimento de TI, Segurança API é uma nova disciplina que todos os desenvolvedores e designers da Web ainda estão descobrindo.
“Encontramos prontamente esses tipos de vulnerabilidades graves de API em todos os tipos de serviços online que investigamos”, diz ele. “Mesmo as empresas com as ferramentas de segurança de aplicativos mais robustas e equipes de segurança avançadas frequentemente têm lacunas em sua lógica de negócios de API.”
E embora ambas as falhas possam ter sido descobertas facilmente por meio de testes de segurança de pré-produção, “a segurança da API ainda é uma reflexão tardia para muitas organizações”, observa Scott Gerlach, cofundador e CSO da StackHawk, um provedor de testes de segurança da API.
“Ele geralmente não entra em jogo até que uma API já tenha sido implantada ou, em outros casos, as organizações estão usando ferramentas legadas não criadas para testar APIs completamente, deixando vulnerabilidades como scripts entre sites e ataques de injeção não descobertos”, diz ele .
Interesse pessoal, resposta rápida
A pesquisa para investigar o BrickLink da Lego não teve como objetivo envergonhar e culpar a Lego ou “fazer alguém parecer mal”, mas sim demonstrar “como esses erros são comuns e educar as empresas sobre as medidas que podem tomar para proteger seus principais dados e serviços”. diz Yodev.
O Lego Group é a maior empresa de brinquedos do mundo e uma marca amplamente reconhecida que pode realmente chamar a atenção das pessoas para o problema, disseram os pesquisadores. A empresa ganha bilhões de dólares em receita por ano, não apenas por causa do interesse das crianças em usar Legos, mas também como resultado de toda uma comunidade adulta de amadores - da qual Yodev admite ser um - que também coleciona e constrói conjuntos de Lego.
Devido à popularidade dos Legos, o BrickLink tem mais de 1 milhão de membros que usam seu site.
Os pesquisadores descobriram as falhas em 18 de outubro e, para seu crédito, a Lego respondeu rapidamente quando a Salt Security revelou os problemas à empresa em 23 de outubro, confirmando a divulgação em dois dias. Testes conduzidos pelo Salt Labs confirmaram pouco depois, em 10 de novembro, que os problemas foram resolvidos, disseram os pesquisadores.
“No entanto, devido à política interna da Lego, eles não podem compartilhar nenhuma informação sobre vulnerabilidades relatadas e, portanto, não podemos confirmar positivamente”, reconhece Yodev. Além disso, essa política também impede que o Salt Labs confirme ou negue se os invasores exploraram qualquer uma das falhas em estado selvagem, diz ele.
Juntando as Vulnerabilidades
Os pesquisadores descobriram a falha XSS na caixa de diálogo “Find Username” da funcionalidade de pesquisa de cupom do BrickLinks, levando a uma cadeia de ataque usando um ID de sessão exposto em uma página diferente, disseram eles.
“Na caixa de diálogo 'Encontrar nome de usuário', o usuário pode escrever um texto livre que acaba sendo renderizado no HTML da página da Web”, escreveu Yodev. “Os usuários podem abusar desse campo aberto para inserir texto que pode levar a uma condição XSS.”
Embora os pesquisadores não pudessem usar a falha por conta própria para montar um ataque, eles encontraram um ID de sessão exposto em uma página diferente que eles poderiam combinar com a falha XSS para sequestrar a sessão de um usuário e obter controle de conta (ATO), explicaram. .
“Atores mal-intencionados podem ter usado essas táticas para assumir o controle total da conta ou roubar dados confidenciais do usuário”, escreveu Yodev.
Os pesquisadores descobriram a segunda falha em outra parte da plataforma que recebe entradas diretas do usuário, chamada “Upload to Wanted List”, que permite que os usuários do BrickLink carreguem uma lista de peças e/ou conjuntos de Lego desejados em formato XML, disseram eles.
A vulnerabilidade estava presente devido à forma como o analisador XML do site usa XML External Entities, uma parte do padrão XML que define um conceito chamado entidade ou unidade de armazenamento de algum tipo, explicou Yodev no post. No caso da página BrickLinks, a implementação era vulnerável a uma condição na qual o processador XML pode divulgar informações confidenciais que normalmente não são acessíveis pelo aplicativo, escreveu ele.
Os pesquisadores exploraram a falha para montar um ataque de injeção XXE que permite a leitura de um arquivo do sistema com as permissões do usuário em execução. Esse tipo de ataque também pode permitir um vetor de ataque adicional usando falsificação de solicitação do lado do servidor, o que pode permitir que um invasor obtenha credenciais para um aplicativo em execução no Amazon Web Services e, assim, violar uma rede interna, disseram os pesquisadores.
Evitando falhas de API semelhantes
Os pesquisadores compartilharam alguns conselhos para ajudar as empresas a evitar a criação de problemas de API semelhantes que podem ser explorados em aplicativos voltados para a Internet em seus próprios ambientes.
No caso de vulnerabilidades de API, os invasores podem infligir mais danos se combinarem ataques em vários problemas ou conduzi-los em rápida sucessão, escreveu Yodev, algo que os pesquisadores demonstraram ser o caso das falhas do Lego.
Para evitar o cenário criado com a falha do XSS, as organizações devem seguir a regra geral “nunca confiar na entrada do usuário”, escreveu Yodev. “A entrada deve ser adequadamente higienizada e evitada”, acrescentou, referindo-se às organizações à folha de dicas de prevenção XSS do Projeto Open Web Application Security (OWASP) para obter mais informações sobre este tópico.
As organizações também devem ter cuidado na implementação de ID de sessão em sites voltados para a Web porque é “um alvo comum para hackers”, que podem aproveitá-lo para sequestro de sessão e controle de conta, escreveu Yodev.
“É importante ter muito cuidado ao manuseá-lo e não expor ou fazer uso indevido para outros fins”, explica.
Por fim, a maneira mais fácil de impedir ataques de injeção de XXE, como o que os pesquisadores demonstraram, é desabilitar completamente as Entidades Externas na configuração do analisador XML, disseram os pesquisadores. O OWASP tem outro recurso útil chamado XXE Prevention Cheat Sheet, que pode orientar as organizações nessa tarefa, acrescentaram.
- blockchain
- carteiras de criptomoeda
- cryptoexchange
- cíber segurança
- cibercriminosos
- Cíber segurança
- Leitura escura
- Departamento de Segurança Interna
- carteiras digitais
- firewall
- Kaspersky
- malwares
- Mcafee
- NexBLOC
- platão
- platão ai
- Inteligência de Dados Platão
- Jogo de Platão
- PlatãoData
- jogo de platô
- VPN
- a segurança do website
