Araştırmacılar, yaygın olarak kullanılan Lego çevrimiçi pazarındaki API kusurlarının, saldırganların kullanıcı hesaplarını ele geçirmesine, platformda depolanan hassas verileri sızdırmasına ve hatta kurumsal hizmetleri tehlikeye atmak için dahili üretim verilerine erişmesine olanak tanıyabileceğini buldu.
Salt Labs'tan araştırmacılar güvenlik açıklarını keşfetti Bricklinksahibi olduğu bir dijital satış platformudur. Lego Grubu ikinci el Lego alıp satması, şirketin tüm oyuncak parçalarının -en azından teknoloji açısından- yerine tam olarak oturmadığını gösteriyor.
Salts Labs güvenlik araştırmacısı Shiran Yodev, Salt Security'nin araştırma kolunun sitenin kullanıcı giriş alanlarını destekleyen alanlarını inceleyerek her iki güvenlik açığını da keşfettiğini açıkladı. bir rapor 15 Aralık'ta yayınlandı.
Araştırmacılar, saldırı için kullanılabilecek temel kusurların her birini, sitenin kullanıcı girişine izin veren kısımlarında buldular; bunların genellikle API güvenliği sorunlarının yaşandığı bir yer olduğunu söylediler. karmaşık ve maliyetli bir sorun kuruluşlar için - ortaya çıkar.
Bir kusurun, hazırlanmış bir bağlantı aracılığıyla kurban son kullanıcının makinesine kod enjekte etmelerine ve çalıştırmalarına olanak tanıyan siteler arası komut dosyası çalıştırma (XSS) güvenlik açığı olduğunu söylediler. Diğeri, harici bir varlığa referans içeren bir XML girişinin zayıf yapılandırılmış bir XML ayrıştırıcısı tarafından işlendiği XML Harici Varlık (XXE) enjeksiyon saldırısının yürütülmesine izin verdi.
Çok sayıda API zayıflığı
Araştırmacılar, Lego'yu özellikle ihmalkar bir teknoloji sağlayıcısı olarak öne çıkarma niyetinde olmadıklarını vurgularken dikkatli davrandılar; aksine, internete yönelik uygulamalardaki API kusurlarının inanılmaz derecede yaygın olduğunu söylediler.
Yodev, Dark Reading'e bunun önemli bir nedeninin olduğunu söylüyor: BT tasarım ve geliştirme ekibinin yetkinliği ne olursa olsun, API güvenliği tüm Web geliştiricilerinin ve tasarımcılarının hala çözmeye çalıştığı yeni bir disiplindir.
"Araştırdığımız her türlü çevrimiçi hizmette bu tür ciddi API açıklarını kolaylıkla buluyoruz" diyor. "En sağlam uygulama güvenliği araçlarına ve gelişmiş güvenlik ekiplerine sahip şirketlerin bile API iş mantıklarında sıklıkla boşluklar vardır."
Her iki kusur da üretim öncesi güvenlik testleri yoluyla kolayca keşfedilebilirken, API güvenlik testi sağlayıcısı StackHawk'un kurucu ortağı ve CSO'su Scott Gerlach, "API güvenliği birçok kuruluş için hâlâ sonradan akla gelen bir düşünce" diyor.
"Genellikle bir API dağıtılana kadar devreye girmiyor veya diğer durumlarda kuruluşlar, API'leri kapsamlı bir şekilde test etmek için oluşturulmamış eski araçları kullanıyor ve siteler arası komut dosyası çalıştırma ve enjeksiyon saldırıları gibi güvenlik açıklarını keşfedilmeden bırakıyor" diyor .
Kişisel İlgi, Hızlı Yanıt
Lego'nun BrickLink'ini araştırmaya yönelik araştırma, Lego'yu utandırmak ve suçlamak ya da "herkesi kötü göstermek" anlamına gelmiyordu; bunun yerine "bu hataların ne kadar yaygın olduğunu göstermek ve şirketleri, önemli verilerini ve hizmetlerini korumak için atabilecekleri adımlar konusunda eğitmek" amaçlıydı. Yodev diyor.
Araştırmacılar, Lego Group'un dünyanın en büyük oyuncak şirketi olduğunu ve gerçekten de insanların dikkatini bu konuya çekebilecek, çok tanınan bir marka olduğunu söyledi. Şirket, yalnızca çocukların Lego kullanmaya olan ilgisi nedeniyle değil, aynı zamanda Lego setleri toplayan ve inşa eden, Yodev'in de onlardan biri olduğunu kabul ettiği yetişkin hobici topluluğunun bir sonucu olarak yılda milyarlarca dolar gelir elde ediyor.
Legos'un popülaritesi nedeniyle BrickLink'in sitesini kullanan 1 milyondan fazla üyesi var.
Araştırmacılar kusurları 18 Ekim'de keşfettiler ve kendi takdirine göre, Salt Security 23 Ekim'de sorunları şirkete açıkladığında Lego hızlı bir şekilde yanıt verdi ve açıklamayı iki gün içinde doğruladı. Araştırmacılar, Salt Labs tarafından yapılan testlerin kısa bir süre sonra 10 Kasım'da sorunların çözüldüğünü doğruladığını söyledi.
Yodev, "Ancak Lego'nun iç politikası nedeniyle, bildirilen güvenlik açıklarına ilişkin herhangi bir bilgiyi paylaşamıyorlar ve bu nedenle olumlu bir doğrulama yapamıyoruz" diye kabul ediyor. Üstelik bu politika, Saldırganların mevcut kusurlardan herhangi birini istismar edip etmediğini Salt Labs'ın onaylamasını veya reddetmesini de engelliyor.
Güvenlik Açıklarını Bir Araya Getirmek
Araştırmacılar, BrickLinks'in kupon arama işlevinin "Kullanıcı Adı Bul" iletişim kutusunda XSS kusurunu bulduğunu ve bunun farklı bir sayfada gösterilen oturum kimliğini kullanan bir saldırı zincirine yol açtığını söylediler.
Yodev, "'Kullanıcı Adı Bul' iletişim kutusunda, kullanıcı, sonunda web sayfasının HTML'sine dönüştürülecek serbest bir metin yazabilir" diye yazdı. "Kullanıcılar bu açık alanı kötüye kullanarak XSS durumuna yol açabilecek metin girebilir."
Araştırmacılar, bir saldırı düzenlemek için kusuru tek başına kullanamayacak olsalar da, farklı bir sayfada, bir kullanıcının oturumunu ele geçirmek ve hesabı ele geçirmek (ATO) sağlamak için XSS kusuruyla birleştirebilecekleri açıkta kalan bir oturum kimliği buldular. .
Yodev, "Kötü aktörler bu taktikleri hesabın tamamını ele geçirmek veya hassas kullanıcı verilerini çalmak için kullanabilirdi" diye yazdı.
Araştırmacılar, platformun doğrudan kullanıcı girişi alan başka bir bölümünde BrickLink kullanıcılarının XML formatında aranan Lego parçaları ve/veya setlerinin bir listesini yüklemelerine olanak tanıyan "Arananlar Listesine Yükleme" adı verilen ikinci kusuru ortaya çıkardıklarını söylediler.
Yodev, gönderisinde, bu güvenlik açığının, sitenin XML ayrıştırıcısının, varlık olarak adlandırılan bir kavramı tanımlayan XML standardının bir parçası olan XML Harici Varlıkları veya bir tür depolama birimini kullanması nedeniyle mevcut olduğunu açıkladı. BrickLinks sayfası örneğinde uygulamanın, XML işlemcisinin genellikle uygulama tarafından erişilemeyen gizli bilgileri ifşa edebileceği bir duruma karşı savunmasız olduğunu yazdı.
Araştırmacılar, çalışan kullanıcının izinleriyle sistem dosyasının okunmasına izin veren bir XXE enjeksiyon saldırısı düzenlemek için bu kusurdan yararlandı. Araştırmacılar, bu tür bir saldırının, sunucu tarafı istek sahteciliği kullanan ek bir saldırı vektörüne de izin verebileceğini, bunun da bir saldırganın Amazon Web Services üzerinde çalışan bir uygulama için kimlik bilgileri elde etmesine ve dolayısıyla dahili bir ağı ihlal etmesine olanak sağlayabileceğini söyledi.
Benzer API Kusurlarından Kaçınmak
Araştırmacılar, işletmelerin kendi ortamlarındaki İnternet'e yönelik uygulamalarda kötüye kullanılabilecek benzer API sorunlarından kaçınmalarına yardımcı olacak bazı tavsiyeler paylaştı.
Yodev, API güvenlik açıkları söz konusu olduğunda, saldırganların çeşitli konulara yönelik saldırıları birleştirmeleri veya hızlı bir şekilde art arda gerçekleştirmeleri halinde en fazla hasarı verebileceğini yazdı, araştırmacıların gösterdiği gibi, Lego kusurlarında da bu durum geçerli.
Yodev, XSS kusuruyla oluşturulan senaryodan kaçınmak için kuruluşların "kullanıcı girişine asla güvenmeme" temel kuralını izlemesi gerektiğini yazdı. Kuruluşları XSS Önleme Hile Sayfasına yönlendirerek, "Girdi uygun şekilde temizlenmeli ve kaçınılmalıdır" diye ekledi. Açık Web Uygulaması Güvenlik Projesi (OWASP) Bu konu hakkında daha fazla bilgi için.
Yodev, kuruluşların Web'e bakan sitelerde oturum kimliğini uygularken de dikkatli olmaları gerektiğini yazdı çünkü bu, oturum ele geçirmek ve hesap ele geçirmek için bundan yararlanabilecek "bilgisayar korsanları için ortak bir hedeftir".
"Bunu kullanırken çok dikkatli olmak, ifşa etmemek veya başka amaçlarla kötüye kullanmamak önemlidir" diye açıkladı.
Araştırmacılar, son olarak, araştırmacıların gösterdiği gibi XXE enjeksiyon saldırılarını durdurmanın en kolay yolunun, XML ayrıştırıcınızın yapılandırmasındaki Harici Varlıkları tamamen devre dışı bırakmak olduğunu söyledi. OWASP'nin, kuruluşlara bu görevde rehberlik edebilecek XXE Önleme Hile Sayfası adı verilen başka bir yararlı kaynağa sahip olduğunu eklediler.
