ข้อบกพร่องของ API ในตลาด Lego ทำให้บัญชีผู้ใช้และข้อมูลตกอยู่ในความเสี่ยง

ข้อบกพร่องของ API ในตลาดออนไลน์ของ Lego ที่ใช้กันอย่างแพร่หลายอาจทำให้ผู้โจมตีสามารถครอบครองบัญชีผู้ใช้ รั่วไหลข้อมูลที่ละเอียดอ่อนที่จัดเก็บไว้บนแพลตฟอร์ม และแม้แต่เข้าถึงข้อมูลการผลิตภายในเพื่อประนีประนอมบริการขององค์กร นักวิจัยพบ

นักวิจัยจาก Salt Labs ค้นพบช่องโหว่ใน บริคลิงค์ซึ่งเป็นแพลตฟอร์มขายต่อดิจิทัลที่เป็นของ กลุ่มเลโก้ สำหรับการซื้อและขาย Legos มือสอง ซึ่งแสดงให้เห็นว่า — ในด้านเทคโนโลยี — ไม่ใช่ของเล่นทุกชิ้นของบริษัทที่จะเข้าที่อย่างสมบูรณ์

ฝ่ายวิจัยของ Salt Security ค้นพบช่องโหว่ทั้งสองโดยการตรวจสอบพื้นที่ของไซต์ที่รองรับช่องป้อนข้อมูลของผู้ใช้ Shiran Yodev นักวิจัยด้านความปลอดภัยของ Salts Labs เปิดเผยใน เพื่อรายงาน เผยแพร่เมื่อวันที่ 15 ธันวาคม

นักวิจัยพบข้อบกพร่องหลักแต่ละข้อที่อาจถูกโจมตีในส่วนต่างๆ ของเว็บไซต์ที่ผู้ใช้ป้อนข้อมูลได้ ซึ่งพวกเขากล่าวว่ามักเป็นจุดที่มีปัญหาด้านความปลอดภัยของ API — ปัญหาที่ซับซ้อนและมีค่าใช้จ่ายสูง สำหรับองค์กร - เกิดขึ้น

ข้อบกพร่องประการหนึ่งคือช่องโหว่แบบ cross-site scripting (XSS) ที่ช่วยให้สามารถแทรกและรันโค้ดบนเครื่องของผู้ใช้ที่เป็นเหยื่อผ่านลิงก์ที่สร้างขึ้นได้ พวกเขากล่าว อีกวิธีหนึ่งอนุญาตให้ดำเนินการโจมตี XML External Entity (XXE) โดยที่อินพุต XML ที่มีการอ้างอิงไปยังเอนทิตีภายนอกได้รับการประมวลผลโดยตัวแยกวิเคราะห์ XML ที่กำหนดค่าไว้อย่างอ่อนแอ

จุดอ่อนของ API มีอยู่มากมาย

นักวิจัยระมัดระวังที่จะเน้นว่าพวกเขาไม่ได้ตั้งใจที่จะแยกแยะ Lego ว่าเป็นผู้ให้บริการเทคโนโลยีที่ประมาทเลินเล่อ ในทางกลับกัน ข้อบกพร่องของ API ในแอปพลิเคชันที่เชื่อมต่อกับอินเทอร์เน็ตนั้นพบได้บ่อยอย่างไม่น่าเชื่อ

มีเหตุผลสำคัญสำหรับสิ่งนั้น Yodev บอก Dark Reading: ไม่ว่าทีมออกแบบและพัฒนาไอทีจะมีความสามารถเพียงใด ความปลอดภัยของ API เป็นวินัยใหม่ที่นักพัฒนาและนักออกแบบเว็บไซต์ทุกคนยังคงค้นหาอยู่

“เราพบช่องโหว่ร้ายแรงของ API ประเภทนี้ได้อย่างง่ายดายในบริการออนไลน์ทุกประเภทที่เราตรวจสอบ” เขากล่าว “แม้แต่บริษัทที่มีเครื่องมือรักษาความปลอดภัยของแอปพลิเคชันที่แข็งแกร่งที่สุดและทีมรักษาความปลอดภัยขั้นสูงก็มักจะมีช่องว่างในตรรกะทางธุรกิจ API ของพวกเขา”

และในขณะที่สามารถค้นพบข้อบกพร่องทั้งสองได้อย่างง่ายดายผ่านการทดสอบความปลอดภัยก่อนการผลิตจริง “ความปลอดภัยของ API ยังคงเป็นสิ่งที่ต้องคำนึงถึงในภายหลังสำหรับหลายองค์กร” Scott Gerlach ผู้ร่วมก่อตั้งและ CSO ของ StackHawk ผู้ให้บริการทดสอบความปลอดภัยของ API กล่าว

“โดยปกติจะไม่เกิดขึ้นจนกว่าจะมีการใช้งาน API แล้ว หรือในกรณีอื่นๆ องค์กรต่างๆ ใช้เครื่องมือรุ่นเก่าที่ไม่ได้สร้างขึ้นเพื่อทดสอบ API อย่างละเอียด ปล่อยให้ช่องโหว่ต่างๆ เช่น สคริปต์ข้ามไซต์และการโจมตีแบบฉีดข้อมูลไม่ถูกค้นพบ” เขากล่าว .

ความสนใจส่วนบุคคล การตอบสนองที่รวดเร็ว

การวิจัยเพื่อตรวจสอบ BrickLink ของ Lego ไม่ได้หมายถึงการทำให้อับอายและตำหนิ Lego หรือ "ทำให้ใครก็ตามดูแย่" แต่เพื่อแสดงให้เห็นว่า "ข้อผิดพลาดเหล่านี้เกิดขึ้นบ่อยเพียงใด และเพื่อให้ความรู้แก่บริษัทต่างๆ เกี่ยวกับขั้นตอนที่พวกเขาสามารถทำได้เพื่อปกป้องข้อมูลและบริการที่สำคัญของพวกเขา" Yodev กล่าวว่า

เลโก กรุ๊ป เป็นบริษัทของเล่นที่ใหญ่ที่สุดในโลกและเป็นแบรนด์ที่เป็นที่รู้จักอย่างมากซึ่งสามารถดึงความสนใจของผู้คนมาที่ประเด็นนี้ได้ นักวิจัยกล่าว บริษัทมีรายได้หลายพันล้านดอลลาร์ต่อปี ไม่เพียงเพราะความสนใจของเด็กๆ ในการใช้เลโก้ แต่ยังเป็นผลมาจากชุมชนผู้ใหญ่ที่เป็นงานอดิเรก ซึ่งโยเดฟยอมรับว่าเขาเป็นหนึ่งเดียวที่รวบรวมและสร้างชุดเลโก้ด้วย

เนื่องจากความนิยมของ Legos BrickLink จึงมีสมาชิกมากกว่า 1 ล้านคนที่ใช้ไซต์ของตน

นักวิจัยได้ค้นพบข้อบกพร่องในวันที่ 18 ตุลาคม และเพื่อเครดิต Lego ตอบสนองอย่างรวดเร็วเมื่อ Salt Security เปิดเผยปัญหาต่อบริษัทในวันที่ 23 ตุลาคม ยืนยันการเปิดเผยภายในสองวัน การทดสอบที่ดำเนินการโดย Salt Labs ยืนยันไม่นานหลังจากวันที่ 10 พฤศจิกายน ว่าปัญหาได้รับการแก้ไขแล้ว นักวิจัยกล่าว

“อย่างไรก็ตาม เนื่องจากนโยบายภายในของ Lego พวกเขาไม่สามารถแบ่งปันข้อมูลใด ๆ เกี่ยวกับช่องโหว่ที่รายงานได้ และเราจึงไม่สามารถยืนยันในเชิงบวกได้” Yodev รับทราบ นอกจากนี้ นโยบายนี้ยังป้องกัน Salt Labs จากการยืนยันหรือปฏิเสธหากผู้โจมตีใช้ประโยชน์จากข้อบกพร่องอย่างใดอย่างหนึ่งในป่า เขากล่าว

รวมช่องโหว่เข้าด้วยกัน

นักวิจัยพบข้อบกพร่อง XSS ในกล่องโต้ตอบ "ค้นหาชื่อผู้ใช้" ของฟังก์ชันการค้นหาคูปองของ BrickLinks ซึ่งนำไปสู่ห่วงโซ่การโจมตีโดยใช้รหัสเซสชันที่เปิดเผยในหน้าอื่น พวกเขากล่าว

“ในกล่องโต้ตอบ 'ค้นหาชื่อผู้ใช้' ผู้ใช้สามารถเขียนข้อความอิสระที่จะแสดงผลเป็น HTML ของหน้าเว็บในที่สุด” Yodev เขียน “ผู้ใช้สามารถใช้ฟิลด์เปิดนี้ในทางที่ผิดเพื่อป้อนข้อความที่อาจนำไปสู่เงื่อนไข XSS”

แม้ว่านักวิจัยจะไม่สามารถใช้ข้อบกพร่องในการโจมตีด้วยตัวเองได้ แต่พวกเขาพบ ID เซสชันที่เปิดเผยในหน้าอื่นที่พวกเขาสามารถรวมเข้ากับข้อบกพร่อง XSS เพื่อจี้เซสชันของผู้ใช้และบรรลุการครอบครองบัญชี (ATO) พวกเขาอธิบายว่า .

“ผู้ไม่หวังดีอาจใช้กลยุทธ์เหล่านี้เพื่อยึดครองบัญชีทั้งหมดหรือขโมยข้อมูลผู้ใช้ที่ละเอียดอ่อน” Yodev เขียน

นักวิจัยค้นพบข้อบกพร่องประการที่สองในอีกส่วนหนึ่งของแพลตฟอร์มที่รับข้อมูลจากผู้ใช้โดยตรง ซึ่งเรียกว่า “อัปโหลดไปยังรายการที่ต้องการ” ซึ่งช่วยให้ผู้ใช้ BrickLink สามารถอัปโหลดรายการชิ้นส่วนและ/หรือชุดเลโก้ที่ต้องการในรูปแบบ XML ได้ พวกเขากล่าว

ช่องโหว่นี้เกิดขึ้นเนื่องจากวิธีที่ตัวแยกวิเคราะห์ XML ของไซต์ใช้ XML External Entities ซึ่งเป็นส่วนหนึ่งของมาตรฐาน XML ที่กำหนดแนวคิดที่เรียกว่าเอนทิตี หรือหน่วยเก็บข้อมูลบางประเภท Yodev อธิบายในโพสต์ ในกรณีของหน้า BrickLinks การใช้งานมีความเสี่ยงต่อเงื่อนไขที่ตัวประมวลผล XML อาจเปิดเผยข้อมูลที่เป็นความลับซึ่งโดยทั่วไปแล้วแอปพลิเคชันไม่สามารถเข้าถึงได้ เขาเขียน

นักวิจัยใช้ประโยชน์จากข้อบกพร่องเพื่อติดตั้งการโจมตีแบบฉีด XXE ที่อนุญาตให้อ่านไฟล์ระบบโดยได้รับอนุญาตจากผู้ใช้ที่ทำงานอยู่ นักวิจัยกล่าวว่าการโจมตีประเภทนี้ยังสามารถเปิดโอกาสการโจมตีเพิ่มเติมโดยใช้การปลอมแปลงคำขอฝั่งเซิร์ฟเวอร์ ซึ่งอาจทำให้ผู้โจมตีได้รับข้อมูลประจำตัวสำหรับแอปพลิเคชันที่ทำงานบน Amazon Web Services และทำให้เครือข่ายภายในเสียหายได้ นักวิจัยกล่าว

หลีกเลี่ยงข้อบกพร่อง API ที่คล้ายกัน

นักวิจัยได้แบ่งปันคำแนะนำเพื่อช่วยให้องค์กรต่างๆ หลีกเลี่ยงการสร้างปัญหา API ที่คล้ายกัน ซึ่งสามารถนำไปใช้กับแอปพลิเคชันที่เชื่อมต่อกับอินเทอร์เน็ตในสภาพแวดล้อมของตนเองได้

ในกรณีของช่องโหว่ API ผู้โจมตีสามารถสร้างความเสียหายได้มากที่สุดหากพวกเขารวมการโจมตีในประเด็นต่างๆ หรือดำเนินการต่อเนื่องอย่างรวดเร็ว Yodev เขียน สิ่งที่นักวิจัยแสดงให้เห็นคือกรณีที่มีข้อบกพร่องของ Lego

เพื่อหลีกเลี่ยงสถานการณ์ที่สร้างขึ้นด้วยข้อบกพร่อง XSS องค์กรควรปฏิบัติตามกฎทั่วไป “อย่าเชื่อถือข้อมูลของผู้ใช้” Yodev เขียน “ข้อมูลที่ป้อนเข้าควรได้รับการฆ่าเชื้ออย่างเหมาะสมและเล็ดลอดออกมา” เขากล่าวเสริม โดยอ้างถึงองค์กรต่างๆ ให้ใช้ XSS Prevention Cheat Sheet โดย เปิดโครงการความปลอดภัยของแอพลิเคชันเว็บ (OWASP) สำหรับข้อมูลเพิ่มเติมเกี่ยวกับหัวข้อนี้

นอกจากนี้ องค์กรต่างๆ ควรระมัดระวังในการนำรหัสเซสชันไปใช้บนเว็บไซต์ที่เชื่อมต่ออินเทอร์เน็ตได้ เนื่องจากเป็น "เป้าหมายทั่วไปของแฮ็กเกอร์" ที่สามารถใช้ประโยชน์จากรหัสเซสชันในการไฮแจ็กเซสชันและเข้ายึดครองบัญชี Yodev เขียน

“สิ่งสำคัญคือต้องระมัดระวังอย่างมากในการจัดการและไม่เปิดเผยหรือนำไปใช้ในทางที่ผิดเพื่อวัตถุประสงค์อื่น” เขาอธิบาย

สุดท้ายนี้ วิธีที่ง่ายที่สุดในการหยุดการโจมตีด้วยการฉีด XXE เช่นเดียวกับที่นักวิจัยได้แสดงให้เห็นคือการปิดใช้งานเอนทิตีภายนอกในการกำหนดค่าตัวแยกวิเคราะห์ XML ของคุณโดยสมบูรณ์ นักวิจัยกล่าว OWASP มีทรัพยากรที่มีประโยชน์อีกชนิดหนึ่งที่เรียกว่า XXE Prevention Cheat Sheet ที่สามารถแนะนำองค์กรในงานนี้ได้