Raziskovalci so ugotovili, da so napake API-ja v pogosto uporabljeni spletni tržnici Lego lahko napadalcem omogočile prevzem uporabniških računov, uhajanje občutljivih podatkov, shranjenih na platformi, in celo pridobitev dostopa do notranjih proizvodnih podatkov, da bi ogrozili storitve podjetja.
Raziskovalci iz Salt Labs so odkrili ranljivosti v Bricklink, platforma za digitalno preprodajo v lasti skupina Lego za nakup in prodajo rabljenih Lego kock, kar dokazuje, da se – tako ali tako tehnološko gledano – vsi kosi igrač tega podjetja ne zaskočijo popolnoma na svoje mesto.
Raziskovalna veja Salt Security je odkrila obe ranljivosti s preiskovanjem območij spletnega mesta, ki podpirajo polja za vnos uporabnikov, je Shiran Yodev, varnostni raziskovalec Salts Labs, razkril v Poročilo objavljeno 15. dec.
Raziskovalci so našli vsako od ključnih pomanjkljivosti, ki bi jih lahko izkoristili za napad v delih spletnega mesta, ki omogočajo uporabniški vnos, za katerega so rekli, da je pogosto mesto, kjer se pojavljajo težave z varnostjo API-ja – zapleten in drag problem za organizacije — nastanejo.
Ena napaka je bila ranljivost skriptiranja na več mestih (XSS), ki jim je omogočila vbrizgavanje in izvajanje kode na računalniku končnega uporabnika žrtve prek izdelane povezave, so povedali. Drugi je omogočal izvedbo napada z vbrizgavanjem zunanje entitete XML (XXE), kjer vhod XML, ki vsebuje referenco na zunanjo entiteto, obdela šibko konfiguriran razčlenjevalnik XML.
Slabosti API-ja so številne
Raziskovalci so previdno poudarili, da niso nameravali izpostaviti Lega kot posebej malomarnega ponudnika tehnologije - nasprotno, napake API-ja v aplikacijah, ki se obrnejo na internet, so neverjetno pogoste, so rekli.
Za to obstaja ključni razlog, pravi Yodev za Dark Reading: Ne glede na usposobljenost ekipe za oblikovanje in razvoj IT, Varnost API je nova disciplina, ki jo vsi spletni razvijalci in oblikovalci še vedno odkrivajo.
»V vseh vrstah spletnih storitev, ki jih preiskujemo, zlahka najdemo tovrstne resne ranljivosti API-ja,« pravi. "Tudi podjetja z najmočnejšimi varnostnimi orodji za aplikacije in naprednimi varnostnimi ekipami imajo pogosto vrzeli v svoji poslovni logiki API."
In medtem ko bi lahko obe napaki zlahka odkrili s predprodukcijskim varnostnim testiranjem, je "varnost API-ja še vedno naknadna misel za mnoge organizacije," ugotavlja Scott Gerlach, soustanovitelj in CSO pri StackHawku, ponudniku varnostnega testiranja API-ja.
»Običajno pride v poštev šele po tem, ko je API že uveden, ali v drugih primerih organizacije uporabljajo podedovana orodja, ki niso izdelana za temeljito preizkušanje API-jev, zaradi česar ranljivosti, kot so skriptno izvajanje med spletnimi mesti in napadi z vbrizgavanjem, ostanejo neodkrite,« pravi. .
Osebni interes, hiter odziv
Raziskava za raziskovanje BrickLink podjetja Lego ni bila namenjena osramočevanju in obtoževanju Lega ali "da bi kdo izgledal slab", temveč pokazati, "kako pogoste so te napake, in izobraževati podjetja o korakih, ki jih lahko sprejmejo za zaščito svojih ključnih podatkov in storitev." Yodev pravi.
Skupina Lego je največje podjetje za igrače na svetu in zelo prepoznavna blagovna znamka, ki lahko resnično pritegne pozornost ljudi na to vprašanje, so povedali raziskovalci. Podjetje zasluži milijarde dolarjev prihodkov na leto, ne samo zaradi zanimanja otrok za uporabo Lego kock, temveč tudi zaradi celotne skupnosti odraslih hobijev – med katerimi Yodev priznava, da je eden –, ki prav tako zbira in sestavlja Lego kocke.
Zaradi priljubljenosti Lego kock ima BrickLink več kot milijon članov, ki uporabljajo njegovo spletno mesto.
Raziskovalci so napake odkrili 18. oktobra in Lego se je po svoji zaslugi hitro odzval, ko je Salt Security 23. oktobra podjetju razkril težave in potrdil razkritje v dveh dneh. Testi, ki jih je izvedel Salt Labs, so kmalu zatem, 10. novembra, potrdili, da so bile težave odpravljene, so povedali raziskovalci.
"Vendar pa zaradi interne politike Lega ne morejo deliti nobenih informacij v zvezi s prijavljenimi ranljivostmi, zato jih ne moremo potrditi," priznava Yodev. Poleg tega ta politika prav tako preprečuje, da bi Salt Labs potrdil ali zanikal, ali so napadalci izkoristili katero od pomanjkljivosti v naravi, pravi.
Združevanje ranljivosti
Raziskovalci so odkrili napako XSS v pogovornem oknu »Poišči uporabniško ime« funkcije iskanja kuponov BrickLinks, kar vodi do verige napadov z uporabo ID-ja seje, izpostavljenega na drugi strani, so povedali.
"V pogovornem oknu 'Poišči uporabniško ime' lahko uporabnik napiše prosto besedilo, ki se na koncu upodobi v HTML spletne strani," je zapisal Yodev. "Uporabniki lahko zlorabljajo to odprto polje za vnos besedila, ki lahko privede do stanja XSS."
Čeprav raziskovalci same pomanjkljivosti niso mogli uporabiti za izvedbo napada, so na drugi strani našli izpostavljeni ID seje, ki bi ga lahko združili s napako XSS, da bi ugrabili uporabnikovo sejo in dosegli prevzem računa (ATO), so pojasnili. .
"Slabi akterji bi lahko uporabili te taktike za popoln prevzem računa ali za krajo občutljivih uporabniških podatkov," je zapisal Yodev.
Raziskovalci so odkrili drugo napako v drugem delu platforme, ki prejema neposreden uporabniški vnos, imenovanem »Naloži na seznam iskanih«, ki uporabnikom BrickLink omogoča nalaganje seznama želenih delov in/ali kompletov Lego v formatu XML, so povedali.
Ranljivost je bila prisotna zaradi tega, kako razčlenjevalnik XML spletnega mesta uporablja zunanje entitete XML, del standarda XML, ki definira koncept, imenovan entiteta, ali nekakšna pomnilniška enota, je v objavi pojasnil Yodev. V primeru strani BrickLinks je bila izvedba ranljiva za stanje, v katerem lahko procesor XML razkrije zaupne informacije, do katerih aplikacija običajno ne dostopa, je zapisal.
Raziskovalci so napako izkoristili za izvedbo napada z vbrizgavanjem XXE, ki omogoča branje sistemske datoteke z dovoljenji delujočega uporabnika. Ta vrsta napada lahko omogoči tudi dodaten vektor napadov z uporabo ponarejanja zahtev na strani strežnika, kar lahko napadalcu omogoči pridobitev poverilnic za aplikacijo, ki se izvaja v storitvi Amazon Web Services, in tako vdre v notranje omrežje, so povedali raziskovalci.
Izogibanje podobnim napakam API-ja
Raziskovalci so delili nekaj nasvetov za pomoč podjetjem, da se izognejo ustvarjanju podobnih težav API-jev, ki jih je mogoče izkoristiti v aplikacijah, usmerjenih v internet, v njihovih okoljih.
V primeru ranljivosti API-ja lahko napadalci povzročijo največ škode, če združijo napade na različne težave ali jih izvajajo v hitrem zaporedju, je zapisal Yodev, kar so raziskovalci pokazali, da velja za pomanjkljivosti Lega.
Da bi se izognili scenariju, ustvarjenemu s napako XSS, bi morale organizacije upoštevati pravilo, da "nikoli ne zaupajo uporabniškemu vnosu," je zapisal Yodev. "Vnos je treba ustrezno razkužiti in pobegniti," je dodal in napotil organizacije na XSS Prevention Cheat Sheet, Odprite projekt za zaščito spletnih aplikacij (OWASP) za več informacij o tej temi.
Organizacije bi morale biti previdne tudi pri izvajanju ID-ja seje na spletnih mestih, ker je to »pogosta tarča hekerjev,« ki ga lahko izkoristijo za ugrabitev seje in prevzem računa, je zapisal Yodev.
"Pomembno je biti zelo previden pri ravnanju z njim in ga ne izpostavljati ali zlorabljati za druge namene," je pojasnil.
Nazadnje, najlažji način za zaustavitev napadov z vbrizgavanjem XXE, kot je tisti, ki so ga pokazali raziskovalci, je, da popolnoma onemogočite zunanje entitete v konfiguraciji vašega razčlenjevalnika XML, pravijo raziskovalci. Dodali so, da ima OWASP še en uporaben vir, imenovan XXE Prevention Cheat Sheet, ki lahko vodi organizacije pri tej nalogi.
- blockchain
- kriptokurrency denarnice
- kripto izmenjava
- kibernetska varnost
- cybercriminals
- Cybersecurity
- Temno branje
- oddelek za domovinsko varnost
- digitalne denarnice
- požarni zid
- Kaspersky
- zlonamerna programska oprema
- Mccafee
- NexBLOC
- platon
- platon ai
- Platonova podatkovna inteligenca
- Igra Platon
- PlatoData
- platogaming
- VPN
- spletna varnost
