تراخيص الأجهزة المتعددة (خصومات كبيرة)
Computer Security اكتشف الباحثون عيبًا كبيرًا في النظام المصرفي يحتمل أن...

اكتشف الباحثون عيبًا كبيرًا في النظام المصرفي يحتمل أن يؤثر على الملايين

بواسطة Mura في Computer Security
ترجمة الى:
العربية

اكتشف فريق أبحاث الأمن السيبراني ثغرة أمنية كبيرة في منصة الخدمات المالية التي تم تنفيذها بالفعل في عدد كبير من الأنظمة المصرفية.

اكتشف الفريق مع Salt Labs عيبًا كبيرًا في واجهة برمجة التطبيقات التي تستخدمها المنصة المالية. كان الاستغلال عبارة عن تزوير طلب من جانب الخادم أو SSRF. إذا تم استغلاله بنجاح ، فقد أدى الخلل إلى كارثة محتملة ، مما يسمح للجهات الفاعلة في التهديد باستنزاف الحسابات المصرفية لملايين المستخدمين.

الخلل يمكن أن يسمح للقراصنة بالوصول الإداري

تم اكتشاف الخلل في صفحة تحتوي على وظائف تسمح لعملاء منصة الخدمات المالية بنقل الأموال من محافظ النظام الأساسي إلى حساباتهم المصرفية.

لم يتم تسمية الشركة التي تمتلك منصة الخدمات المالية وتتحكم فيها ، ولكن تم وصفها على أنها تقدم خدمات تتيح للبنوك الانتقال من الخدمات المصرفية التقليدية إلى الخدمات المصرفية عبر الإنترنت. وفقًا لفريق البحث في Salt Labs ، يوجد حاليًا ملايين الأشخاص الذين يستخدمون هذا النظام الأساسي.

كانت المشكلة التي تم اكتشافها كبيرة بما يكفي لتكون قادرة على منح الجهات الفاعلة التي تهدد التهديدات المحتملة وصول إداري للبنك الذي اختار تنفيذ النظام الأساسي المعني. بمجرد الحصول على مثل هذا المستوى العالي من الوصول المميز ،تصبح السماء هي الحد . كان من الممكن أن يسيء المتسللون استخدام هذا بعدة طرق ، من استنزاف حسابات العملاء إلى سرقة معلومات التعريف الشخصية الخاصة بهم والوصول إلى معلومات حول المعاملات السابقة.

تم اكتشاف الثغرة الأمنية بينما كان الباحثون يراقبون حركة المرور عبر موقع الشركة الذي لم يذكر اسمه. هناك ، اعترضوا خطأً داخل واجهة برمجة التطبيقات استدعاه المتصفح للتعامل مع الطلبات.

التعامل مع المعلمات السيئة في جذر الخلل

سمح الاستغلال بإدخال رمز داخل معلمة في الصفحة ثم جعل واجهة برمجة التطبيقات تتصل بعنوان URL الجديد التعسفي للنطاق بدلاً من الذي توفره المؤسسة المصرفية باستخدام النظام الأساسي.

كدليل على الثغرة الأمنية ، تلاعبت شركة Salt Labs بطلب سيئ ، واستبدلت مجال المؤسسة المصرفية بمجالها الخاص ، ثم تلقيت الاتصال من نهايتها. باختصار ، أثبت هذا أن الخادم لا يتحقق أبدًا من سلسلة المجال و "يثق" بكل ما يتلقاه في معلمة InstitutionURL ، مما يسمح بالتلاعب.

وفقًا لفريق البحث ، غالبًا ما يتم التغاضي عن العيوب ونقاط الضعف الموجودة في واجهات برمجة التطبيقات ، على الرغم من أنها يمكن أن تكون وفيرة عبر بحر من واجهات برمجة التطبيقات المستخدمة بنشاط.

جار التحميل...