Computer Security Изследователите откриват сериозен недостатък в банковата...

Изследователите откриват сериозен недостатък в банковата платформа, който потенциално засяга милиони

Изследователски екип по киберсигурност откри значителна уязвимост в платформа за финансови услуги, която вече е внедрена в голям брой банкови системи.

Екипът със Salt Labs откри голям недостатък в API, използван от финансовата платформа. Експлойтът беше фалшифициране на заявка от страна на сървъра или SSRF. Ако беше успешно експлоатиран, недостатъкът можеше да доведе до потенциално бедствие, позволявайки на заплахите да източат банковите сметки на милиони потребители.

Грешка може да позволи на хакерите администраторски достъп

Недостатъкът беше открит в страница, съдържаща функционалност, която позволява на клиентите на платформата за финансови услуги да преместват пари от портфейлите си на платформата към техните банкови сметки.

Компанията, която притежава и контролира платформата за финансови услуги, не е посочена, но е описана като такава, която предлага услуги, които позволяват на банките да преминат от традиционно към онлайн банкиране. Според изследователския екип в Salt Labs в момента има милиони хора, които използват тази платформа.

Откритият проблем беше достатъчно важен, за да може да даде администраторски достъп на потенциалните заплахи до банката, която е избрала да внедри въпросната платформа. След като се получи такова високо ниво на привилегирован достъп,небето е границата . Хакерите биха могли да злоупотребят с това по много начини, от източване на клиентски акаунти до кражба на тяхната лична информация и достъп до информация за минали транзакции.

Уязвимостта беше открита, докато изследователите наблюдаваха трафика в уебсайта на неназованата компания. Там те прихванаха грешка в API, извикан от браузъра за обработка на заявки.

Лоша обработка на параметрите в основата на недостатъка

Експлойтът позволи да се вмъкне код вътре в параметър в страницата и след това API да се свърже с новия, произволен URL адрес на домейн вместо този, предоставен от банковата институция, използваща платформата.

Като доказателство за уязвимостта, Salt Labs изработиха лоша заявка, като замениха домейна на банковата институция със свой собствен, след което получиха връзката от своя страна. Накратко, това доказа, че сървърът никога не проверява низа на домейна и „доверява“ на всичко, което получава в параметъра InstitutionURL, позволявайки подправяне.

Според изследователския екип недостатъците и уязвимостите, намиращи се в API, обикновено се пренебрегват, въпреки че могат да бъдат изобилни в морето от API, които се използват активно.

Зареждане...