Дослідники виявили, що недоліки API у широко використовуваному онлайн-магазині Lego могли дозволити зловмисникам захопити облікові записи користувачів, витік конфіденційних даних, що зберігаються на платформі, і навіть отримати доступ до внутрішніх виробничих даних для компрометації корпоративних послуг.
Дослідники з Salt Labs виявили вразливі місця в Бриклінк, платформа цифрового перепродажу, що належить група Lego для купівлі та продажу вживаних Lego, демонструючи, що — у будь-якому разі з точки зору технології — не всі іграшки компанії ідеально лягають на свої місця.
Дослідницька група Salt Security виявила обидві вразливості, досліджуючи ділянки сайту, які підтримують поля введення користувачами, повідомив Шіран Йодев, дослідник безпеки Salts Labs. повідомити опубліковано 15 груд.
Дослідники знайшли кожну з основних недоліків, які можна використати для атаки в частинах сайту, які дозволяють вводити дані користувачами, які, за їх словами, часто є місцем, де виникають проблеми з безпекою API — складна і дорога проблема для організацій — виник.
Однією з вад була уразливість міжсайтового сценарію (XSS), яка дозволяла їм вводити та виконувати код на комп’ютері кінцевого користувача жертви через створене посилання. Інший дозволяв виконання атаки ін’єкції XML External Entity (XXE), коли XML-вхід, що містить посилання на зовнішню сутність, обробляється слабо налаштованим аналізатором XML.
Безліч недоліків API
Дослідники були обережні, щоб підкреслити, що вони не мали наміру виділяти Lego як особливо недбалого постачальника технологій — навпаки, недоліки API в Інтернет-додатках є неймовірно поширеними, вони сказали.
На це є ключова причина, каже Йодев Dark Reading: Незалежно від компетенції команди ІТ-проектування та розробки, Безпека API це нова дисципліна, яку всі веб-розробники та дизайнери все ще вивчають.
«Ми легко знаходимо подібні серйозні вразливості API у всіх онлайн-сервісах, які досліджуємо», — каже він. «Навіть компанії з найнадійнішими інструментами безпеки додатків і передовими командами безпеки часто мають прогалини в бізнес-логіці API».
І хоча обидві вади можна було легко виявити під час попереднього тестування безпеки, «Багато організацій усе ще думають про безпеку API», — зазначає Скотт Герлах, співзасновник і CSO StackHawk, постачальника тестування безпеки API.
«Зазвичай це не виникає, доки API вже не буде розгорнуто, або в інших випадках організації використовують застарілі інструменти, не створені для ретельного тестування API, залишаючи невиявленими такі вразливості, як міжсайтовий сценарій та ін’єкційні атаки», – говорить він. .
Особистий інтерес, швидке реагування
Дослідження BrickLink від Lego не мало на меті присоромити й звинуватити Lego чи «змусити когось виглядати погано», а скоріше продемонструвати, «наскільки поширеними є ці помилки, і навчити компаніям кроки, які вони можуть вжити для захисту своїх ключових даних і послуг». – каже Йодев.
За словами дослідників, Lego Group є найбільшою у світі компанією з виробництва іграшок і широко впізнаваним брендом, який справді може привернути увагу людей до цієї проблеми. Компанія заробляє мільярди доларів щорічного доходу не лише завдяки інтересу дітей до використання Lego, але й завдяки цілої спільноти любителів дорослих, до якої Йодев зізнається, що він також збирає та створює набори Lego.
Через популярність Лего BrickLink має понад 1 мільйон членів, які використовують його сайт.
Дослідники виявили недоліки 18 жовтня, і, до честі, Lego швидко відреагувала, коли Salt Security повідомила про проблеми компанії 23 жовтня, підтвердивши розкриття протягом двох днів. Тести, проведені Salt Labs, підтвердили незабаром після цього, 10 листопада, що проблеми були вирішені, сказали дослідники.
«Однак через внутрішню політику Lego вони не можуть ділитися будь-якою інформацією щодо повідомлених вразливостей, тому ми не можемо підтвердити це», — визнає Йодев. Крім того, ця політика також не дозволяє Salt Labs підтверджувати або спростувати, чи скористалися зловмисники одним із недоліків у дикій природі, каже він.
Об’єднання вразливостей
За їх словами, дослідники виявили недолік XSS у діалоговому вікні «Знайти ім’я користувача» функції пошуку купонів BrickLinks, що призвело до ланцюжка атак з використанням ідентифікатора сеансу, відкритого на іншій сторінці.
«У діалоговому вікні «Знайти ім’я користувача» користувач може написати довільний текст, який згодом буде відображено в HTML веб-сторінки», — написав Йодев. «Користувачі можуть зловживати цим відкритим полем для введення тексту, який може призвести до умови XSS».
Хоча дослідники не могли використати дефект сам по собі для організації атаки, вони пояснили, що вони знайшли відкритий ідентифікатор сеансу на іншій сторінці, який вони могли поєднати з дефектом XSS, щоб перехопити сеанс користувача та досягти захоплення облікового запису (ATO). .
«Злочинці могли використати цю тактику для повного захоплення облікового запису або викрадення конфіденційних даних користувачів», — написав Йодев.
Дослідники виявили другий недолік в іншій частині платформи, яка отримує прямий вхід від користувача, під назвою «Завантажити до списку розшуку», яка дозволяє користувачам BrickLink завантажувати список бажаних частин і/або наборів Lego у форматі XML, вони сказали.
Йодев пояснив, що уразливість була присутня через те, як синтаксичний аналізатор XML сайту використовує зовнішні об’єкти XML, частину стандарту XML, який визначає концепцію під назвою об’єкт або одиницю зберігання певного типу, пояснив Йодев у публікації. У випадку сторінки BrickLinks реалізація була вразливою до умов, за яких XML-процесор може розкрити конфіденційну інформацію, яка зазвичай недоступна програмі, написав він.
Дослідники використали недолік, щоб здійснити ін’єкційну атаку XXE, яка дозволяє читати системний файл із дозволами запущеного користувача. Цей тип атаки також може створити додатковий вектор атаки за допомогою підробки запитів на стороні сервера, що може дозволити зловмиснику отримати облікові дані для програми, що працює на Amazon Web Services, і таким чином зламати внутрішню мережу, кажуть дослідники.
Уникнення подібних недоліків API
Дослідники поділилися деякими порадами, які допоможуть підприємствам уникнути створення подібних проблем з API, які можуть бути використані в Інтернет-додатках у їхньому власному середовищі.
У разі вразливостей API зловмисники можуть завдати найбільшої шкоди, якщо комбінують атаки на різні проблеми або проводять їх у швидкій послідовності, написав Йодев, те, що дослідники продемонстрували, стосується недоліків Lego.
Щоб уникнути сценарію, створеного недоліком XSS, організації повинні дотримуватися емпіричного правила «ніколи не довіряти введеним користувачами», — написав Йодев. «Вхідні дані мають бути належним чином оброблені та вилучені», — додав він, перенаправляючи організації до шпаргалки XSS Prevention Cheat Sheet від Відкрийте проект безпеки веб-додатків (OWASP) для отримання додаткової інформації з цієї теми.
Організаціям також слід бути обережними у застосуванні ідентифікатора сеансу на веб-сайтах, оскільки це «звичайна мета для хакерів», які можуть використовувати його для викрадення сеансу та захоплення облікового запису, написав Йодев.
«Важливо бути дуже обережним, поводячись із ним, не піддавати та не використовувати його для інших цілей», — пояснив він.
Нарешті, найпростіший спосіб зупинити атаки ін’єкцій XXE, подібні до тієї, яку продемонстрували дослідники, — це повністю вимкнути зовнішні об’єкти в конфігурації аналізатора XML, кажуть дослідники. OWASP має ще один корисний ресурс під назвою XXE Prevention Cheat Sheet, який може допомогти організаціям у цьому завданні, додали вони.
