Các nhà nghiên cứu đã phát hiện ra rằng các lỗ hổng API trong thị trường trực tuyến Lego được sử dụng rộng rãi có thể cho phép kẻ tấn công chiếm đoạt tài khoản người dùng, rò rỉ dữ liệu nhạy cảm được lưu trữ trên nền tảng và thậm chí có quyền truy cập vào dữ liệu sản xuất nội bộ để xâm phạm các dịch vụ của công ty.
Các nhà nghiên cứu từ Salt Labs đã phát hiện ra các lỗ hổng trong Bricklink, một nền tảng bán lại kỹ thuật số thuộc sở hữu của Tập đoàn Lego vì việc mua và bán Lego cũ, chứng tỏ rằng - dù sao đi nữa về mặt công nghệ - không phải tất cả các món đồ chơi của công ty đều khớp vào đúng vị trí một cách hoàn hảo.
Bộ phận nghiên cứu của Salt Security đã phát hiện ra cả hai lỗ hổng bằng cách điều tra các khu vực của trang web hỗ trợ trường nhập liệu của người dùng, Shiran Yodev, nhà nghiên cứu bảo mật của Salts Labs, tiết lộ trong báo cáo được xuất bản vào ngày 15 tháng XNUMX.
Các nhà nghiên cứu đã tìm thấy từng lỗ hổng cốt lõi có thể bị khai thác để tấn công ở các phần của trang web cho phép người dùng nhập thông tin mà họ cho biết thường là nơi xảy ra sự cố bảo mật API — một vấn đề phức tạp và tốn kém cho các tổ chức - phát sinh.
Họ cho biết, một lỗ hổng là lỗ hổng cross-site scripting (XSS) cho phép chúng chèn và thực thi mã trên máy của nạn nhân thông qua một liên kết được tạo ra. Cái còn lại cho phép thực thi một cuộc tấn công chèn Thực thể bên ngoài XML (XXE), trong đó đầu vào XML chứa tham chiếu đến một thực thể bên ngoài được xử lý bởi trình phân tích cú pháp XML được cấu hình yếu.
Điểm yếu của API rất nhiều
Họ cho biết, các nhà nghiên cứu đã cẩn thận nhấn mạnh rằng họ không có ý định coi Lego là nhà cung cấp công nghệ đặc biệt cẩu thả - ngược lại, các lỗi API trong các ứng dụng sử dụng Internet là cực kỳ phổ biến.
Có một lý do chính cho điều đó, Yodev nói với Dark Reading: Bất kể năng lực của đội ngũ thiết kế và phát triển CNTT, Bảo mật API là một nguyên tắc mới mà tất cả các nhà phát triển và thiết kế Web vẫn đang tìm hiểu.
Ông nói: “Chúng tôi dễ dàng tìm thấy những loại lỗ hổng API nghiêm trọng này trong tất cả các loại dịch vụ trực tuyến mà chúng tôi điều tra”. “Ngay cả những công ty có công cụ bảo mật ứng dụng mạnh mẽ nhất và đội ngũ bảo mật tiên tiến cũng thường xuyên có những lỗ hổng trong logic kinh doanh API của họ.”
Và mặc dù cả hai lỗ hổng đều có thể được phát hiện dễ dàng thông qua thử nghiệm bảo mật trước khi sản xuất, nhưng “bảo mật API vẫn là vấn đề được nhiều tổ chức cân nhắc”, Scott Gerlach, đồng sáng lập và CSO tại StackHawk, nhà cung cấp thử nghiệm bảo mật API, lưu ý.
Ông nói: “Nó thường không phát huy tác dụng cho đến khi API đã được triển khai hoặc trong các trường hợp khác, các tổ chức đang sử dụng công cụ cũ không được xây dựng để kiểm tra API kỹ lưỡng, khiến các lỗ hổng như tập lệnh chéo trang và các cuộc tấn công tiêm nhiễm chưa được phát hiện”. .
Sở thích cá nhân, phản hồi nhanh
Nghiên cứu điều tra BrickLink của Lego không nhằm mục đích xấu hổ và đổ lỗi cho Lego hay "làm cho bất kỳ ai trông xấu xa", mà là để chứng minh "mức độ phổ biến của những lỗi này và để hướng dẫn các công ty về các bước họ có thể thực hiện để bảo vệ dữ liệu và dịch vụ quan trọng của mình" Yodev nói.
Các nhà nghiên cứu cho biết Tập đoàn Lego là công ty đồ chơi lớn nhất thế giới và là thương hiệu được nhiều người biết đến, thực sự có thể thu hút sự chú ý của mọi người về vấn đề này. Công ty kiếm được hàng tỷ đô la doanh thu mỗi năm, không chỉ vì sự quan tâm của trẻ em khi sử dụng Lego mà còn là kết quả của toàn bộ cộng đồng người lớn có sở thích - mà Yodev thừa nhận anh là một trong số đó - cũng thu thập và chế tạo các bộ Lego.
Vì sự phổ biến của Legos, BrickLink có hơn 1 triệu thành viên sử dụng trang web của nó.
Các nhà nghiên cứu đã phát hiện ra lỗ hổng vào ngày 18 tháng 23 và đáng khen ngợi là Lego đã phản hồi nhanh chóng khi Salt Security tiết lộ vấn đề cho công ty vào ngày 10 tháng XNUMX, xác nhận việc tiết lộ trong vòng hai ngày. Các nhà nghiên cứu cho biết các thử nghiệm do Salt Labs thực hiện đã xác nhận ngay sau đó, vào ngày XNUMX tháng XNUMX, rằng các vấn đề đã được giải quyết.
Yodev thừa nhận: “Tuy nhiên, do chính sách nội bộ của Lego, họ không thể chia sẻ bất kỳ thông tin nào liên quan đến các lỗ hổng được báo cáo và do đó chúng tôi không thể xác nhận một cách tích cực”. Hơn nữa, chính sách này cũng ngăn cản Salt Labs xác nhận hoặc phủ nhận nếu những kẻ tấn công khai thác một trong các lỗ hổng một cách tự nhiên, ông nói.
Cùng nhau khắc phục các lỗ hổng
Họ cho biết, các nhà nghiên cứu đã tìm thấy lỗ hổng XSS trong hộp thoại “Tìm tên người dùng” của chức năng tìm kiếm phiếu giảm giá của BrickLinks, dẫn đến chuỗi tấn công sử dụng ID phiên bị lộ trên một trang khác.
Yodev viết: “Trong hộp thoại 'Tìm tên người dùng', người dùng có thể viết một văn bản miễn phí mà cuối cùng sẽ được hiển thị thành HTML của trang web. “Người dùng có thể lạm dụng trường mở này để nhập văn bản có thể dẫn đến tình trạng XSS.”
Họ giải thích rằng mặc dù các nhà nghiên cứu không thể tự mình sử dụng lỗ hổng này để thực hiện một cuộc tấn công, nhưng họ đã tìm thấy ID phiên bị lộ trên một trang khác. Họ có thể kết hợp với lỗ hổng XSS để chiếm quyền điều khiển phiên của người dùng và chiếm đoạt tài khoản (ATO). .
Yodev viết: “Những kẻ xấu có thể đã sử dụng các chiến thuật này để chiếm toàn bộ tài khoản hoặc đánh cắp dữ liệu nhạy cảm của người dùng”.
Họ cho biết, các nhà nghiên cứu đã phát hiện ra lỗ hổng thứ hai trong một phần khác của nền tảng nhận đầu vào trực tiếp của người dùng, được gọi là “Tải lên danh sách mong muốn”, cho phép người dùng BrickLink tải lên danh sách các bộ phận và/hoặc bộ Lego mong muốn ở định dạng XML.
Yodev giải thích trong bài đăng rằng lỗ hổng này xuất hiện do cách trình phân tích cú pháp XML của trang web sử dụng các Thực thể bên ngoài XML, một phần của tiêu chuẩn XML xác định một khái niệm được gọi là thực thể hoặc một loại đơn vị lưu trữ nào đó. Trong trường hợp của trang BrickLinks, việc triển khai dễ gặp phải tình trạng trong đó bộ xử lý XML có thể tiết lộ thông tin bí mật mà ứng dụng thường không thể truy cập được, ông viết.
Các nhà nghiên cứu đã khai thác lỗ hổng này để thực hiện một cuộc tấn công chèn XXE cho phép đọc tệp hệ thống với quyền của người dùng đang chạy. Các nhà nghiên cứu cho biết kiểu tấn công này cũng có thể cho phép một vectơ tấn công bổ sung sử dụng giả mạo yêu cầu phía máy chủ, điều này có thể cho phép kẻ tấn công lấy được thông tin xác thực cho một ứng dụng chạy trên Amazon Web Services và do đó vi phạm mạng nội bộ.
Tránh các lỗi API tương tự
Các nhà nghiên cứu đã chia sẻ một số lời khuyên để giúp các doanh nghiệp tránh tạo ra các vấn đề API tương tự có thể bị khai thác trên các ứng dụng sử dụng Internet trong môi trường của chính họ.
Yodev viết, trong trường hợp có lỗ hổng API, những kẻ tấn công có thể gây ra thiệt hại nặng nề nhất nếu chúng kết hợp các cuộc tấn công vào nhiều vấn đề khác nhau hoặc tiến hành chúng liên tiếp, điều mà các nhà nghiên cứu đã chứng minh là trường hợp của các lỗ hổng Lego.
Để tránh kịch bản được tạo ra bởi lỗ hổng XSS, các tổ chức nên tuân theo quy tắc ngón tay cái “không bao giờ tin tưởng vào thông tin đầu vào của người dùng”, Yodev viết. Ông nói thêm: “Đầu vào phải được khử trùng và thoát đúng cách,” đồng thời đề cập đến các tổ chức tham khảo Bảng gian lận phòng chống XSS của Dự án bảo mật ứng dụng web mở (OWASP) để biết thêm thông tin về chủ đề này.
Yodev viết: Các tổ chức cũng nên cẩn thận trong việc triển khai ID phiên trên các trang web vì đó là “mục tiêu chung của tin tặc”, những kẻ có thể lợi dụng nó để chiếm quyền điều khiển phiên và chiếm đoạt tài khoản.
Ông giải thích: “Điều quan trọng là phải hết sức cẩn thận khi xử lý nó và không để lộ hoặc lạm dụng nó cho các mục đích khác”.
Cuối cùng, cách dễ nhất để ngăn chặn các cuộc tấn công tiêm nhiễm XXE giống như cách mà các nhà nghiên cứu đã chứng minh là vô hiệu hóa hoàn toàn các Thực thể bên ngoài trong cấu hình trình phân tích cú pháp XML của bạn, các nhà nghiên cứu cho biết. Họ cho biết thêm, OWASP có một tài nguyên hữu ích khác gọi là Bảng gian lận phòng chống XXE có thể hướng dẫn các tổ chức thực hiện nhiệm vụ này.
