ข้อบกพร่องของ API ในตลาดออนไลน์ของ Lego ที่ใช้กันอย่างแพร่หลายอาจทำให้ผู้โจมตีสามารถครอบครองบัญชีผู้ใช้ รั่วไหลข้อมูลที่ละเอียดอ่อนที่จัดเก็บไว้บนแพลตฟอร์ม และแม้แต่เข้าถึงข้อมูลการผลิตภายในเพื่อประนีประนอมบริการขององค์กร นักวิจัยพบ
นักวิจัยจาก Salt Labs ค้นพบช่องโหว่ใน บริคลิงค์ซึ่งเป็นแพลตฟอร์มขายต่อดิจิทัลที่เป็นของ กลุ่มเลโก้ สำหรับการซื้อและขาย Legos มือสอง ซึ่งแสดงให้เห็นว่า — ในด้านเทคโนโลยี — ไม่ใช่ของเล่นทุกชิ้นของบริษัทที่จะเข้าที่อย่างสมบูรณ์
ฝ่ายวิจัยของ Salt Security ค้นพบช่องโหว่ทั้งสองโดยการตรวจสอบพื้นที่ของไซต์ที่รองรับช่องป้อนข้อมูลของผู้ใช้ Shiran Yodev นักวิจัยด้านความปลอดภัยของ Salts Labs เปิดเผยใน เพื่อรายงาน เผยแพร่เมื่อวันที่ 15 ธันวาคม
นักวิจัยพบข้อบกพร่องหลักแต่ละข้อที่อาจถูกโจมตีในส่วนต่างๆ ของเว็บไซต์ที่ผู้ใช้ป้อนข้อมูลได้ ซึ่งพวกเขากล่าวว่ามักเป็นจุดที่มีปัญหาด้านความปลอดภัยของ API — ปัญหาที่ซับซ้อนและมีค่าใช้จ่ายสูง สำหรับองค์กร - เกิดขึ้น
ข้อบกพร่องประการหนึ่งคือช่องโหว่แบบ cross-site scripting (XSS) ที่ช่วยให้สามารถแทรกและรันโค้ดบนเครื่องของผู้ใช้ที่เป็นเหยื่อผ่านลิงก์ที่สร้างขึ้นได้ พวกเขากล่าว อีกวิธีหนึ่งอนุญาตให้ดำเนินการโจมตี XML External Entity (XXE) โดยที่อินพุต XML ที่มีการอ้างอิงไปยังเอนทิตีภายนอกได้รับการประมวลผลโดยตัวแยกวิเคราะห์ XML ที่กำหนดค่าไว้อย่างอ่อนแอ
จุดอ่อนของ API มีอยู่มากมาย
นักวิจัยระมัดระวังที่จะเน้นว่าพวกเขาไม่ได้ตั้งใจที่จะแยกแยะ Lego ว่าเป็นผู้ให้บริการเทคโนโลยีที่ประมาทเลินเล่อ ในทางกลับกัน ข้อบกพร่องของ API ในแอปพลิเคชันที่เชื่อมต่อกับอินเทอร์เน็ตนั้นพบได้บ่อยอย่างไม่น่าเชื่อ
มีเหตุผลสำคัญสำหรับสิ่งนั้น Yodev บอก Dark Reading: ไม่ว่าทีมออกแบบและพัฒนาไอทีจะมีความสามารถเพียงใด ความปลอดภัยของ API เป็นวินัยใหม่ที่นักพัฒนาและนักออกแบบเว็บไซต์ทุกคนยังคงค้นหาอยู่
“เราพบช่องโหว่ร้ายแรงของ API ประเภทนี้ได้อย่างง่ายดายในบริการออนไลน์ทุกประเภทที่เราตรวจสอบ” เขากล่าว “แม้แต่บริษัทที่มีเครื่องมือรักษาความปลอดภัยของแอปพลิเคชันที่แข็งแกร่งที่สุดและทีมรักษาความปลอดภัยขั้นสูงก็มักจะมีช่องว่างในตรรกะทางธุรกิจ API ของพวกเขา”
และในขณะที่สามารถค้นพบข้อบกพร่องทั้งสองได้อย่างง่ายดายผ่านการทดสอบความปลอดภัยก่อนการผลิตจริง “ความปลอดภัยของ API ยังคงเป็นสิ่งที่ต้องคำนึงถึงในภายหลังสำหรับหลายองค์กร” Scott Gerlach ผู้ร่วมก่อตั้งและ CSO ของ StackHawk ผู้ให้บริการทดสอบความปลอดภัยของ API กล่าว
“โดยปกติจะไม่เกิดขึ้นจนกว่าจะมีการใช้งาน API แล้ว หรือในกรณีอื่นๆ องค์กรต่างๆ ใช้เครื่องมือรุ่นเก่าที่ไม่ได้สร้างขึ้นเพื่อทดสอบ API อย่างละเอียด ปล่อยให้ช่องโหว่ต่างๆ เช่น สคริปต์ข้ามไซต์และการโจมตีแบบฉีดข้อมูลไม่ถูกค้นพบ” เขากล่าว .
ความสนใจส่วนบุคคล การตอบสนองที่รวดเร็ว
การวิจัยเพื่อตรวจสอบ BrickLink ของ Lego ไม่ได้หมายถึงการทำให้อับอายและตำหนิ Lego หรือ "ทำให้ใครก็ตามดูแย่" แต่เพื่อแสดงให้เห็นว่า "ข้อผิดพลาดเหล่านี้เกิดขึ้นบ่อยเพียงใด และเพื่อให้ความรู้แก่บริษัทต่างๆ เกี่ยวกับขั้นตอนที่พวกเขาสามารถทำได้เพื่อปกป้องข้อมูลและบริการที่สำคัญของพวกเขา" Yodev กล่าวว่า
เลโก กรุ๊ป เป็นบริษัทของเล่นที่ใหญ่ที่สุดในโลกและเป็นแบรนด์ที่เป็นที่รู้จักอย่างมากซึ่งสามารถดึงความสนใจของผู้คนมาที่ประเด็นนี้ได้ นักวิจัยกล่าว บริษัทมีรายได้หลายพันล้านดอลลาร์ต่อปี ไม่เพียงเพราะความสนใจของเด็กๆ ในการใช้เลโก้ แต่ยังเป็นผลมาจากชุมชนผู้ใหญ่ที่เป็นงานอดิเรก ซึ่งโยเดฟยอมรับว่าเขาเป็นหนึ่งเดียวที่รวบรวมและสร้างชุดเลโก้ด้วย
เนื่องจากความนิยมของ Legos BrickLink จึงมีสมาชิกมากกว่า 1 ล้านคนที่ใช้ไซต์ของตน
นักวิจัยได้ค้นพบข้อบกพร่องในวันที่ 18 ตุลาคม และเพื่อเครดิต Lego ตอบสนองอย่างรวดเร็วเมื่อ Salt Security เปิดเผยปัญหาต่อบริษัทในวันที่ 23 ตุลาคม ยืนยันการเปิดเผยภายในสองวัน การทดสอบที่ดำเนินการโดย Salt Labs ยืนยันไม่นานหลังจากวันที่ 10 พฤศจิกายน ว่าปัญหาได้รับการแก้ไขแล้ว นักวิจัยกล่าว
“อย่างไรก็ตาม เนื่องจากนโยบายภายในของ Lego พวกเขาไม่สามารถแบ่งปันข้อมูลใด ๆ เกี่ยวกับช่องโหว่ที่รายงานได้ และเราจึงไม่สามารถยืนยันในเชิงบวกได้” Yodev รับทราบ นอกจากนี้ นโยบายนี้ยังป้องกัน Salt Labs จากการยืนยันหรือปฏิเสธหากผู้โจมตีใช้ประโยชน์จากข้อบกพร่องอย่างใดอย่างหนึ่งในป่า เขากล่าว
รวมช่องโหว่เข้าด้วยกัน
นักวิจัยพบข้อบกพร่อง XSS ในกล่องโต้ตอบ "ค้นหาชื่อผู้ใช้" ของฟังก์ชันการค้นหาคูปองของ BrickLinks ซึ่งนำไปสู่ห่วงโซ่การโจมตีโดยใช้รหัสเซสชันที่เปิดเผยในหน้าอื่น พวกเขากล่าว
“ในกล่องโต้ตอบ 'ค้นหาชื่อผู้ใช้' ผู้ใช้สามารถเขียนข้อความอิสระที่จะแสดงผลเป็น HTML ของหน้าเว็บในที่สุด” Yodev เขียน “ผู้ใช้สามารถใช้ฟิลด์เปิดนี้ในทางที่ผิดเพื่อป้อนข้อความที่อาจนำไปสู่เงื่อนไข XSS”
แม้ว่านักวิจัยจะไม่สามารถใช้ข้อบกพร่องในการโจมตีด้วยตัวเองได้ แต่พวกเขาพบ ID เซสชันที่เปิดเผยในหน้าอื่นที่พวกเขาสามารถรวมเข้ากับข้อบกพร่อง XSS เพื่อจี้เซสชันของผู้ใช้และบรรลุการครอบครองบัญชี (ATO) พวกเขาอธิบายว่า .
“ผู้ไม่หวังดีอาจใช้กลยุทธ์เหล่านี้เพื่อยึดครองบัญชีทั้งหมดหรือขโมยข้อมูลผู้ใช้ที่ละเอียดอ่อน” Yodev เขียน
นักวิจัยค้นพบข้อบกพร่องประการที่สองในอีกส่วนหนึ่งของแพลตฟอร์มที่รับข้อมูลจากผู้ใช้โดยตรง ซึ่งเรียกว่า “อัปโหลดไปยังรายการที่ต้องการ” ซึ่งช่วยให้ผู้ใช้ BrickLink สามารถอัปโหลดรายการชิ้นส่วนและ/หรือชุดเลโก้ที่ต้องการในรูปแบบ XML ได้ พวกเขากล่าว
ช่องโหว่นี้เกิดขึ้นเนื่องจากวิธีที่ตัวแยกวิเคราะห์ XML ของไซต์ใช้ XML External Entities ซึ่งเป็นส่วนหนึ่งของมาตรฐาน XML ที่กำหนดแนวคิดที่เรียกว่าเอนทิตี หรือหน่วยเก็บข้อมูลบางประเภท Yodev อธิบายในโพสต์ ในกรณีของหน้า BrickLinks การใช้งานมีความเสี่ยงต่อเงื่อนไขที่ตัวประมวลผล XML อาจเปิดเผยข้อมูลที่เป็นความลับซึ่งโดยทั่วไปแล้วแอปพลิเคชันไม่สามารถเข้าถึงได้ เขาเขียน
นักวิจัยใช้ประโยชน์จากข้อบกพร่องเพื่อติดตั้งการโจมตีแบบฉีด XXE ที่อนุญาตให้อ่านไฟล์ระบบโดยได้รับอนุญาตจากผู้ใช้ที่ทำงานอยู่ นักวิจัยกล่าวว่าการโจมตีประเภทนี้ยังสามารถเปิดโอกาสการโจมตีเพิ่มเติมโดยใช้การปลอมแปลงคำขอฝั่งเซิร์ฟเวอร์ ซึ่งอาจทำให้ผู้โจมตีได้รับข้อมูลประจำตัวสำหรับแอปพลิเคชันที่ทำงานบน Amazon Web Services และทำให้เครือข่ายภายในเสียหายได้ นักวิจัยกล่าว
หลีกเลี่ยงข้อบกพร่อง API ที่คล้ายกัน
นักวิจัยได้แบ่งปันคำแนะนำเพื่อช่วยให้องค์กรต่างๆ หลีกเลี่ยงการสร้างปัญหา API ที่คล้ายกัน ซึ่งสามารถนำไปใช้กับแอปพลิเคชันที่เชื่อมต่อกับอินเทอร์เน็ตในสภาพแวดล้อมของตนเองได้
ในกรณีของช่องโหว่ API ผู้โจมตีสามารถสร้างความเสียหายได้มากที่สุดหากพวกเขารวมการโจมตีในประเด็นต่างๆ หรือดำเนินการต่อเนื่องอย่างรวดเร็ว Yodev เขียน สิ่งที่นักวิจัยแสดงให้เห็นคือกรณีที่มีข้อบกพร่องของ Lego
เพื่อหลีกเลี่ยงสถานการณ์ที่สร้างขึ้นด้วยข้อบกพร่อง XSS องค์กรควรปฏิบัติตามกฎทั่วไป “อย่าเชื่อถือข้อมูลของผู้ใช้” Yodev เขียน “ข้อมูลที่ป้อนเข้าควรได้รับการฆ่าเชื้ออย่างเหมาะสมและเล็ดลอดออกมา” เขากล่าวเสริม โดยอ้างถึงองค์กรต่างๆ ให้ใช้ XSS Prevention Cheat Sheet โดย เปิดโครงการความปลอดภัยของแอพลิเคชันเว็บ (OWASP) สำหรับข้อมูลเพิ่มเติมเกี่ยวกับหัวข้อนี้
นอกจากนี้ องค์กรต่างๆ ควรระมัดระวังในการนำรหัสเซสชันไปใช้บนเว็บไซต์ที่เชื่อมต่ออินเทอร์เน็ตได้ เนื่องจากเป็น "เป้าหมายทั่วไปของแฮ็กเกอร์" ที่สามารถใช้ประโยชน์จากรหัสเซสชันในการไฮแจ็กเซสชันและเข้ายึดครองบัญชี Yodev เขียน
“สิ่งสำคัญคือต้องระมัดระวังอย่างมากในการจัดการและไม่เปิดเผยหรือนำไปใช้ในทางที่ผิดเพื่อวัตถุประสงค์อื่น” เขาอธิบาย
สุดท้ายนี้ วิธีที่ง่ายที่สุดในการหยุดการโจมตีด้วยการฉีด XXE เช่นเดียวกับที่นักวิจัยได้แสดงให้เห็นคือการปิดใช้งานเอนทิตีภายนอกในการกำหนดค่าตัวแยกวิเคราะห์ XML ของคุณโดยสมบูรณ์ นักวิจัยกล่าว OWASP มีทรัพยากรที่มีประโยชน์อีกชนิดหนึ่งที่เรียกว่า XXE Prevention Cheat Sheet ที่สามารถแนะนำองค์กรในงานนี้ได้
- blockchain
- กระเป๋าสตางค์ cryptocurrency
- การแลกเปลี่ยนการเข้ารหัสลับ
- การรักษาความปลอดภัยในโลกไซเบอร์
- อาชญากรไซเบอร์
- cybersecurity
- การอ่านที่มืด
- กรมความมั่นคงภายในประเทศ
- กระเป๋าสตางค์ดิจิตอล
- ไฟร์วอลล์
- Kaspersky
- มัลแวร์
- แมคคาฟี
- เน็กซ์บล๊อก
- เพลโต
- เพลโตไอ
- เพลโตดาต้าอินเทลลิเจนซ์
- เกมเพลโต
- เพลโตดาต้า
- เพลโตเกม
- VPN
- ความปลอดภัยของเว็บไซต์