Исследователи обнаружили, что недостатки API в широко используемом онлайн-магазине Lego могли позволить злоумышленникам завладеть учетными записями пользователей, слить конфиденциальные данные, хранящиеся на платформе, и даже получить доступ к внутренним производственным данным для компрометации корпоративных услуг.
Исследователи из Salt Labs обнаружили уязвимости в Bricklink, платформа цифровой перепродажи, принадлежащая Лего Групп для покупки и продажи подержанных Lego, демонстрируя, что — во всяком случае, с точки зрения технологии — не все игрушки компании идеально встают на свои места.
Исследовательское подразделение Salt Security обнаружило обе уязвимости, изучив области сайта, которые поддерживают поля ввода пользователя, сообщила Ширан Йодев, исследователь безопасности Salts Labs. сообщить опубликовано 15 декабря.
Исследователи обнаружили все основные недостатки, которые могут быть использованы для атаки, в тех частях сайта, которые позволяют пользователю вводить данные, что, по их словам, часто является местом, где возникают проблемы с безопасностью API. сложная и дорогая проблема для организаций — возникают.
По их словам, одним из недостатков была уязвимость межсайтового скриптинга (XSS), которая позволяла им внедрять и выполнять код на компьютере конечного пользователя-жертвы через созданную ссылку. Другой допускал выполнение атаки внедрения внешней сущности XML (XXE), когда ввод XML, содержащий ссылку на внешнюю сущность, обрабатывается слабо сконфигурированным синтаксическим анализатором XML.
Слабых сторон API предостаточно
Исследователи осторожно подчеркнули, что они не собирались выделять Lego как особенно небрежного поставщика технологий — напротив, недостатки API в приложениях, ориентированных на Интернет, невероятно распространены, заявили они.
Для этого есть ключевая причина, говорит Йодев Dark Reading.: Независимо от компетенции команды ИТ-проектировщиков и разработчиков, API безопасность — это новая дисциплина, в которой все веб-разработчики и дизайнеры все еще разбираются.
«Мы легко находим такие серьезные уязвимости API во всех видах онлайн-сервисов, которые мы исследуем», — говорит он. «Даже компании с самыми надежными инструментами безопасности приложений и передовыми командами безопасности часто имеют пробелы в своей бизнес-логике API».
И хотя обе уязвимости можно было бы легко обнаружить с помощью предварительного тестирования безопасности, «безопасность API по-прежнему остается второстепенной задачей для многих организаций», — отмечает Скотт Герлах, соучредитель и директор по безопасности в StackHawk, поставщике услуг тестирования безопасности API.
«Обычно он не вступает в игру до тех пор, пока API уже не будет развернут, или в других случаях организации используют устаревшие инструменты, не предназначенные для тщательного тестирования API, оставляя незамеченными уязвимости, такие как межсайтовый скриптинг и атаки путем внедрения», — говорит он. .
Личный интерес, быстрый ответ
Исследование по изучению Lego BrickLink не предназначалось для того, чтобы пристыдить и обвинить Lego или «выставить кого-либо в плохом свете», а скорее для того, чтобы продемонстрировать, «насколько распространены эти ошибки, и рассказать компаниям о шагах, которые они могут предпринять для защиты своих ключевых данных и услуг». — говорит Йодев.
По словам исследователей, Lego Group — крупнейшая в мире компания по производству игрушек и широко узнаваемый бренд, который действительно может привлечь внимание людей к этой проблеме. Компания зарабатывает миллиарды долларов в год не только из-за интереса детей к использованию Lego, но и благодаря тому, что целое сообщество взрослых любителей, одним из которых, по признанию Йодева, является, также собирает и строит наборы Lego.
Из-за популярности Lego сайт BrickLink использует более 1 миллиона пользователей.
Исследователи обнаружили недостатки 18 октября, и, к их чести, Lego быстро отреагировала, когда Salt Security сообщила о проблемах компании 23 октября, подтвердив раскрытие информации в течение двух дней. По словам исследователей, тесты, проведенные Salt Labs, вскоре после этого, 10 ноября, подтвердили, что проблемы были решены.
«Однако из-за внутренней политики Lego они не могут делиться какой-либо информацией об обнаруженных уязвимостях, и поэтому мы не можем это подтвердить», — признает Йодев. Более того, эта политика также не позволяет Salt Labs подтвердить или опровергнуть факт использования злоумышленниками какой-либо уязвимости в дикой природе, говорит он.
Объединяем уязвимости
По их словам, исследователи обнаружили уязвимость XSS в диалоговом окне «Найти имя пользователя» функции поиска купонов BrickLinks, что привело к цепочке атак с использованием идентификатора сеанса, отображаемого на другой странице.
«В диалоговом окне «Найти имя пользователя» пользователь может написать произвольный текст, который в конечном итоге преобразуется в HTML-код веб-страницы», — пишет Йодев. «Пользователи могут злоупотреблять этим открытым полем для ввода текста, что может привести к XSS-условию».
Хотя исследователи не могли использовать этот недостаток сам по себе для проведения атаки, они обнаружили открытый идентификатор сеанса на другой странице, который они могли объединить с недостатком XSS, чтобы перехватить сеанс пользователя и добиться захвата учетной записи (ATO), объяснили они. .
«Злоумышленники могли использовать эту тактику для полного захвата аккаунта или кражи конфиденциальных пользовательских данных», — написал Йодев.
По их словам, исследователи обнаружили вторую уязвимость в другой части платформы, которая получает непосредственный ввод данных от пользователя, которая называется «Загрузить в список разыскиваемых». Она позволяет пользователям BrickLink загружать список необходимых деталей и/или наборов Lego в формате XML.
Уязвимость возникла из-за того, как синтаксический анализатор XML сайта использует внешние сущности XML, часть стандарта XML, которая определяет концепцию, называемую сущностью, или единицей хранения определенного типа, объяснил Йодев в своем посте. В случае со страницей BrickLinks реализация была уязвима для условия, при котором XML-процессор может раскрывать конфиденциальную информацию, которая обычно недоступна для приложения, пишет он.
Исследователи воспользовались этой уязвимостью, чтобы организовать атаку с внедрением XXE, позволяющую читать системный файл с разрешениями работающего пользователя. По словам исследователей, этот тип атаки также может создать дополнительный вектор атаки с использованием подделки запросов на стороне сервера, что может позволить злоумышленнику получить учетные данные для приложения, работающего в Amazon Web Services, и, таким образом, взломать внутреннюю сеть.
Как избежать подобных недостатков API
Исследователи поделились некоторыми советами, которые помогут предприятиям избежать создания подобных проблем с API, которые могут быть использованы в приложениях, подключенных к Интернету, в их собственных средах.
В случае с уязвимостями API злоумышленники могут нанести наибольший ущерб, если будут комбинировать атаки на различные проблемы или проводить их в быстрой последовательности, пишет Йодев, что исследователи продемонстрировали в случае с недостатками Lego.
Чтобы избежать сценария, созданного с помощью уязвимости XSS, организации должны следовать эмпирическому правилу «никогда не доверять вводу пользователя», — написал Йодев. «Входные данные должны быть должным образом очищены и экранированы», — добавил он, отсылая организации к Шпаргалке по предотвращению XSS от Открытый проект безопасности веб-приложений (OWASP) для получения дополнительной информации по этой теме.
Организации также должны быть осторожны при внедрении идентификатора сеанса на веб-сайтах, потому что это «обычная цель для хакеров», которые могут использовать его для перехвата сеанса и захвата учетных записей, пишет Йодев.
«Важно быть очень осторожным при обращении с ним, не выставлять напоказ и не использовать его не по назначению», — пояснил он.
Наконец, самый простой способ остановить атаки XXE-инъекций, подобные тем, что продемонстрировали исследователи, — это полностью отключить внешние объекты в конфигурации вашего анализатора XML, говорят исследователи. Они добавили, что в OWASP есть еще один полезный ресурс под названием «Шпаргалка по предотвращению XXE», который может помочь организациям в решении этой задачи.
- блокчейн
- кошельки с криптовалютами
- cryptoexchange
- информационная безопасность
- киберпреступники
- Информационная безопасность
- Темное чтение
- Департамент внутренней безопасности
- цифровые кошельки
- брандмауэр
- Kaspersky
- вредоносных программ
- Mcafee
- НексБЛОК
- Платон
- Платон Ай
- Платон Интеллектуальные данные
- Платон игра
- ПлатонДанные
- платогейминг
- VPN
- безопасности веб-сайтов
