محققین نے پایا ہے کہ وسیع پیمانے پر استعمال ہونے والے لیگو آن لائن مارکیٹ پلیس میں API کی خامیوں کی وجہ سے حملہ آوروں کو صارف کے اکاؤنٹس پر قبضہ کرنے، پلیٹ فارم پر محفوظ کردہ حساس ڈیٹا کو لیک کرنے، اور کارپوریٹ خدمات سے سمجھوتہ کرنے کے لیے اندرونی پیداوار کے ڈیٹا تک رسائی حاصل کرنے کی اجازت مل سکتی ہے۔
سالٹ لیبز کے محققین نے ان کمزوریوں کو دریافت کیا۔ برک لنک, ایک ڈیجیٹل ری سیل پلیٹ فارم جس کی ملکیت ہے۔ لیگو گروپ سیکنڈ ہینڈ لیگوس کی خرید و فروخت کے لیے، یہ ظاہر کرتے ہوئے کہ — ٹیکنالوجی کے لحاظ سے، ویسے بھی — کمپنی کے تمام کھلونوں کے ٹکڑے بالکل جگہ پر نہیں ہوتے۔
سالٹ سیکیورٹی کے تحقیقی بازو نے سائٹ کے ان علاقوں کی چھان بین کرکے دونوں کمزوریوں کو دریافت کیا جو صارف کے ان پٹ فیلڈز کو سپورٹ کرتے ہیں، سالٹس لیبز کے سیکیورٹی محقق شیران یوڈیو نے انکشاف کیا۔ ایک رپورٹ 15 دسمبر کو شائع ہوا۔
محققین نے ہر ایک بنیادی خامیوں کو پایا جس کا استعمال سائٹ کے ان حصوں میں حملے کے لیے کیا جا سکتا ہے جو صارف کے ان پٹ کی اجازت دیتے ہیں، جس کے بارے میں ان کا کہنا تھا کہ اکثر ایسی جگہ ہوتی ہے جہاں API سیکیورٹی کے مسائل ہوتے ہیں۔ ایک پیچیدہ اور مہنگا مسئلہ تنظیموں کے لئے - اٹھیں۔
انہوں نے کہا کہ ایک خامی کراس سائٹ اسکرپٹنگ (XSS) کی کمزوری تھی جس نے انہیں ایک تیار کردہ لنک کے ذریعے شکار کے آخری صارف کی مشین پر کوڈ کو انجیکشن کرنے اور اس پر عمل درآمد کرنے کے قابل بنایا۔ دوسرے کو XML External Entity (XXE) انجیکشن اٹیک کے عمل کی اجازت ہے، جہاں ایک XML ان پٹ جس میں کسی بیرونی ہستی کا حوالہ ہوتا ہے پر ایک کمزور کنفیگر شدہ XML پارسر کے ذریعے کارروائی کی جاتی ہے۔
API کی کمزوریاں بہت زیادہ ہیں۔
محققین اس بات پر زور دینے میں محتاط تھے کہ وہ لیگو کو خاص طور پر لاپرواہ ٹیکنالوجی فراہم کرنے والے کے طور پر الگ کرنے کا ارادہ نہیں رکھتے تھے - اس کے برعکس، انٹرنیٹ کا سامنا کرنے والی ایپلی کیشنز میں API کی خامیاں ناقابل یقین حد تک عام ہیں۔
یوڈیو نے ڈارک ریڈنگ کو بتایا کہ اس کی ایک اہم وجہ ہے۔: آئی ٹی ڈیزائن اور ڈویلپمنٹ ٹیم کی اہلیت سے کوئی فرق نہیں پڑتا، API سیکیورٹی ایک نیا ڈسپلن ہے جسے تمام ویب ڈویلپرز اور ڈیزائنرز اب بھی تلاش کر رہے ہیں۔
وہ کہتے ہیں، "ہمیں ان تمام قسم کی آن لائن سروسز میں آسانی سے اس قسم کے سنگین API کے خطرات مل جاتے ہیں جن کی ہم تحقیقات کرتے ہیں۔" "حتی کہ انتہائی مضبوط ایپلیکیشن سیکیورٹی ٹولنگ اور جدید سیکیورٹی ٹیموں کے ساتھ کمپنیاں بھی اکثر اپنے API کاروباری منطق میں خلاء رکھتی ہیں۔"
اور جب کہ دونوں خامیوں کو پری پروڈکشن سیکیورٹی ٹیسٹنگ کے ذریعے آسانی سے دریافت کیا جا سکتا تھا، "API سیکیورٹی اب بھی بہت سی تنظیموں کے لیے سوچا سمجھا ہے،" Scott Gerlach، StackHawk کے شریک بانی اور CSO، API سیکیورٹی ٹیسٹنگ فراہم کرنے والے نوٹ کرتے ہیں۔
"یہ عام طور پر اس وقت تک عمل میں نہیں آتا جب تک کہ ایک API کو پہلے سے ہی تعینات نہیں کیا جاتا ہے، یا دوسرے معاملات میں، تنظیمیں لیگیسی ٹولنگ کا استعمال کر رہی ہیں جو APIs کو اچھی طرح سے جانچنے کے لیے نہیں بنایا گیا ہے، جس سے کراس سائٹ اسکرپٹنگ اور انجیکشن حملوں جیسی کمزوریوں کا پتہ نہیں چلتا،" وہ کہتے ہیں۔ .
ذاتی دلچسپی، تیز ردعمل
Lego's BrickLink کی چھان بین کرنے والی تحقیق کا مقصد Lego کو شرمندہ کرنا اور اس پر الزام لگانا یا "کسی کو برا دکھانا" نہیں تھا، بلکہ یہ ظاہر کرنا تھا کہ "یہ غلطیاں کتنی عام ہیں اور کمپنیوں کو ان اقدامات کے بارے میں تعلیم دینا تھی جو وہ اپنے اہم ڈیٹا اور خدمات کی حفاظت کے لیے اٹھا سکتی ہیں"۔ یوڈیو کہتے ہیں۔
محققین نے کہا کہ لیگو گروپ دنیا کی سب سے بڑی کھلونا کمپنی ہے اور ایک بڑے پیمانے پر پہچانا جانے والا برانڈ ہے جو درحقیقت لوگوں کی توجہ اس مسئلے کی طرف مبذول کر سکتا ہے۔ کمپنی ہر سال اربوں ڈالر کی آمدنی حاصل کرتی ہے، نہ صرف بچوں کی Legos استعمال کرنے میں دلچسپی کی وجہ سے بلکہ ایک پوری بالغ شوق رکھنے والی کمیونٹی کے نتیجے میں - جس میں سے Yodev تسلیم کرتا ہے کہ وہ ایک ہے - جو Lego سیٹ بھی اکٹھا اور بناتا ہے۔
Legos کی مقبولیت کی وجہ سے، BrickLink کے 1 ملین سے زیادہ ممبران ہیں جو اس کی سائٹ استعمال کرتے ہیں۔
محققین نے 18 اکتوبر کو خامیوں کو دریافت کیا، اور، اس کے کریڈٹ پر، لیگو نے فوری جواب دیا جب سالٹ سیکیورٹی نے 23 اکتوبر کو کمپنی کو مسائل کا انکشاف کیا، دو دن کے اندر انکشاف کی تصدیق کی۔ محققین نے کہا کہ سالٹ لیبز کے ذریعے کیے گئے ٹیسٹوں نے جلد ہی، 10 نومبر کو تصدیق کی کہ مسائل حل ہو چکے ہیں۔
"تاہم، لیگو کی داخلی پالیسی کی وجہ سے، وہ رپورٹ شدہ خطرات سے متعلق کوئی معلومات شیئر نہیں کر سکتے، اور اس لیے ہم مثبت طور پر تصدیق کرنے سے قاصر ہیں،" یوڈیو تسلیم کرتے ہیں۔ مزید برآں، یہ پالیسی سالٹ لیبز کو اس بات کی تصدیق یا تردید کرنے سے بھی روکتی ہے کہ آیا حملہ آوروں نے جنگلی میں سے کسی ایک خامی کا فائدہ اٹھایا ہے۔
کمزوریوں کو ایک ساتھ توڑنا
انہوں نے کہا کہ محققین کو برک لنکس کے کوپن سرچ فنکشنلٹی کے "فائنڈ یوزر نیم" ڈائیلاگ باکس میں ایکس ایس ایس کی خامی ملی، جس کے نتیجے میں ایک سیشن آئی ڈی کا استعمال کرتے ہوئے حملے کا سلسلہ شروع ہو گیا جو ایک مختلف صفحہ پر ظاہر ہوتا ہے۔
یوڈیو نے لکھا، "'Find Username' ڈائیلاگ باکس میں، صارف ایک مفت متن لکھ سکتا ہے جو آخر کار ویب پیج کے HTML میں رینڈر ہو جاتا ہے،" Yodev نے لکھا۔ "صارفین متن داخل کرنے کے لیے اس کھلے میدان کا غلط استعمال کر سکتے ہیں جو XSS کی حالت کا باعث بن سکتا ہے۔"
اگرچہ محققین اس خامی کو خود سے حملہ کرنے کے لیے استعمال نہیں کر سکتے تھے، لیکن انہیں ایک مختلف صفحہ پر ایک بے نقاب سیشن آئی ڈی ملی جسے وہ صارف کے سیشن کو ہائی جیک کرنے اور اکاؤنٹ ٹیک اوور (ATO) حاصل کرنے کے لیے XSS کی خامی کے ساتھ مل سکتے ہیں، انہوں نے وضاحت کی۔ .
یوڈیو نے لکھا، "برے اداکار ان ہتھکنڈوں کو مکمل اکاؤنٹ ٹیک اوور کرنے یا صارف کا حساس ڈیٹا چرانے کے لیے استعمال کر سکتے تھے۔"
محققین نے پلیٹ فارم کے دوسرے حصے میں دوسری خامی کا پردہ فاش کیا جو براہ راست صارف کا ان پٹ وصول کرتا ہے، جسے "اپ لوڈ ٹو وانٹڈ لسٹ" کہا جاتا ہے، جو برک لنک کے صارفین کو مطلوبہ لیگو پارٹس اور/یا سیٹوں کی فہرست XML فارمیٹ میں اپ لوڈ کرنے کی اجازت دیتا ہے۔
یہ خطرہ اس وجہ سے موجود تھا کہ سائٹ کا XML پارسر کس طرح XML External Entities کو استعمال کرتا ہے، XML معیار کا ایک حصہ جو کہ ایک entity کہلانے والے تصور کی وضاحت کرتا ہے، یا کسی قسم کی اسٹوریج یونٹ، Yodev نے پوسٹ میں وضاحت کی۔ BrickLinks صفحہ کے معاملے میں، نفاذ ایک ایسی حالت کے لیے خطرناک تھا جس میں XML پروسیسر ایسی خفیہ معلومات کا انکشاف کر سکتا ہے جو عام طور پر ایپلیکیشن کے ذریعے قابل رسائی نہیں ہوتی، اس نے لکھا۔
محققین نے اس خامی کا فائدہ اٹھاتے ہوئے ایک XXE انجیکشن اٹیک کو نصب کیا جو چلانے والے صارف کی اجازت کے ساتھ سسٹم فائل کو پڑھنے کی اجازت دیتا ہے۔ محققین نے کہا کہ اس قسم کے حملے سے سرور سائیڈ درخواست کی جعلسازی کا استعمال کرتے ہوئے اضافی حملہ کرنے والے ویکٹر کی بھی اجازت مل سکتی ہے، جو حملہ آور کو ایمیزون ویب سروسز پر چلنے والی ایپلیکیشن کے لیے اسناد حاصل کرنے کے قابل بنا سکتا ہے اور اس طرح ایک اندرونی نیٹ ورک کی خلاف ورزی کر سکتا ہے۔
اسی طرح کی API خامیوں سے بچنا
محققین نے کاروباری اداروں کو ایسے ہی API مسائل پیدا کرنے سے بچنے میں مدد کے لیے کچھ مشورے شیئر کیے جن کا ان کے اپنے ماحول میں انٹرنیٹ کا سامنا کرنے والی ایپلی کیشنز پر فائدہ اٹھایا جا سکتا ہے۔
API کی کمزوریوں کی صورت میں، حملہ آور سب سے زیادہ نقصان پہنچا سکتے ہیں اگر وہ مختلف امور پر حملوں کو یکجا کرتے ہیں یا انہیں یکے بعد دیگرے انجام دیتے ہیں، یوڈیو نے لکھا، جس چیز کا محققین نے مظاہرہ کیا وہ لیگو کی خامیوں کے معاملے میں ہے۔
یوڈیو نے لکھا کہ XSS کی خامی کے ساتھ پیدا ہونے والے منظر نامے سے بچنے کے لیے، تنظیموں کو انگوٹھے کے اصول کی پیروی کرنی چاہیے "کبھی بھی صارف کے ان پٹ پر بھروسہ نہ کریں۔" "ان پٹ کو مناسب طریقے سے صاف کیا جانا چاہئے اور فرار ہونا چاہئے،" انہوں نے مزید کہا، تنظیموں کو XSS کی روک تھام کی دھوکہ دہی کی شیٹ کا حوالہ دیتے ہوئے اوپن ویب ایپلیکیشن سیکیورٹی پروجیکٹ اس موضوع پر مزید معلومات کے لیے (OWASP)۔
یوڈیو نے لکھا، تنظیموں کو ویب کا سامنا کرنے والی سائٹس پر سیشن آئی ڈی کے نفاذ میں بھی محتاط رہنا چاہیے کیونکہ یہ "ہیکرز کے لیے ایک مشترکہ ہدف" ہے، جو سیشن ہائی جیکنگ اور اکاؤنٹ ٹیک اوور کے لیے اس کا فائدہ اٹھا سکتے ہیں۔
"اسے سنبھالتے وقت بہت محتاط رہنا ضروری ہے اور اسے بے نقاب یا دوسرے مقاصد کے لیے غلط استعمال نہ کریں،" انہوں نے وضاحت کی۔
محققین نے کہا کہ آخر میں، XXE انجیکشن حملوں کو روکنے کا سب سے آسان طریقہ جیسا کہ محققین نے ظاہر کیا ہے کہ اپنے XML پارسر کی ترتیب میں بیرونی اداروں کو مکمل طور پر غیر فعال کر دیں۔ انہوں نے مزید کہا کہ OWASP کے پاس ایک اور مفید وسیلہ ہے جسے XXE Prevention Cheat Sheet کہا جاتا ہے جو اس کام میں تنظیموں کی رہنمائی کر سکتا ہے۔
