Forskere finder store fejl i bankplatformen, der potentielt påvirker millioner
Et forskningsteam for cybersikkerhed opdagede en betydelig sårbarhed i en platform for finansielle tjenester, som allerede er implementeret i en lang række banksystemer.
Teamet med Salt Labs opdagede en stor fejl i den API, der bruges af den finansielle platform. Udnyttelsen var en anmodningsforfalskning på serversiden eller SSRF. Hvis det var blevet udnyttet med succes, kunne fejlen have ført til en potentiel katastrofe, der gjorde det muligt for trusselsaktører at dræne millioner af brugeres bankkonti.
Fejl kan give hackere administratoradgang
Fejlen blev opdaget på en side, der indeholder funktionalitet, der gør det muligt for kunder på platformen for finansielle tjenester at flytte penge fra deres platforms tegnebøger til deres bankkonti.
Virksomheden, der ejer og kontrollerer den finansielle tjenesteplatform, blev ikke navngivet, men beskrives som en, der tilbyder tjenester, der gør det muligt for banker at gå fra traditionel til netbank. Ifølge forskerholdet på Salt Labs er der i øjeblikket millioner af mennesker, der bruger den platform.
Problemet, der blev opdaget, var betydeligt nok til at kunne give potentielle trusselsaktører administratoradgang til den bank, der valgte at implementere den pågældende platform. Når først et så højt niveau af privilegeret adgang er opnået,er himlen grænsen. Hackere kunne have misbrugt dette på mange måder, lige fra at dræne kundekonti til at stjæle deres personligt identificerbare oplysninger og få adgang til oplysninger om tidligere transaktioner.
Sårbarheden blev opdaget, mens forskerne overvågede trafikken på tværs af den unavngivne virksomheds hjemmeside. Der opsnappede de en fejl i den API, der blev kaldt op af browseren til at håndtere anmodninger.
Dårlig parameterhåndtering er årsagen til fejlen
Udnyttelsen tillod at indsætte kode inde i en parameter på siden og derefter få API'et til at kontakte den nye, vilkårlige domæne-URL i stedet for den, der blev leveret af pengeinstituttet, der bruger platformen.
Som bevis på sårbarheden behandlede Salt Labs en dårlig anmodning, erstattede bankinstituttets domæne med deres eget og modtog derefter forbindelsen på deres side. Kort sagt beviste dette, at serveren aldrig tjekker domænestrengen og "stoler på" hvad end den modtager i InstitutionURL-parameteren, hvilket tillader manipulation.
Ifølge forskerholdet bliver fejl og sårbarheder i API'er almindeligvis overset, selvom de kan være rigelige på tværs af havet af API'er, der bruges aktivt.