Οι ερευνητές ανακαλύπτουν σημαντικό ελάττωμα στην τραπεζική πλατφόρμα που δυνητικά επηρεάζει εκατομμύρια

Μια ερευνητική ομάδα κυβερνοασφάλειας ανακάλυψε μια σημαντική ευπάθεια σε μια πλατφόρμα χρηματοοικονομικών υπηρεσιών που έχει ήδη εφαρμοστεί σε μεγάλο αριθμό τραπεζικών συστημάτων.

Η ομάδα της Salt Labs ανακάλυψε ένα σημαντικό ελάττωμα στο API που χρησιμοποιείται από την οικονομική πλατφόρμα. Η εκμετάλλευση ήταν μια πλαστογραφία αιτήματος από την πλευρά του διακομιστή ή SSRF. Εάν είχε αξιοποιηθεί επιτυχώς, το ελάττωμα θα μπορούσε να είχε οδηγήσει σε πιθανή καταστροφή, επιτρέποντας στους παράγοντες απειλών να εξαντλήσουν τους τραπεζικούς λογαριασμούς εκατομμυρίων χρηστών.

Το ελάττωμα θα μπορούσε να επιτρέψει στους χάκερ την πρόσβαση διαχειριστή

Το ελάττωμα ανακαλύφθηκε σε μια σελίδα που περιέχει λειτουργικότητα που επιτρέπει στους πελάτες της πλατφόρμας χρηματοοικονομικών υπηρεσιών να μετακινούν χρήματα από τα πορτοφόλια της πλατφόρμας τους στους τραπεζικούς λογαριασμούς τους.

Η εταιρεία που κατέχει και ελέγχει την πλατφόρμα χρηματοοικονομικών υπηρεσιών δεν κατονομάστηκε, αλλά περιγράφεται ως εταιρεία που προσφέρει υπηρεσίες που επιτρέπουν στις τράπεζες να περάσουν από την παραδοσιακή στην ηλεκτρονική τραπεζική. Σύμφωνα με την ερευνητική ομάδα του Salt Labs, υπάρχουν επί του παρόντος εκατομμύρια άνθρωποι που χρησιμοποιούν αυτήν την πλατφόρμα.

Το ζήτημα που ανακαλύφθηκε ήταν αρκετά σημαντικό ώστε να μπορέσει να δώσει σε πιθανούς παράγοντες απειλής πρόσβαση διαχειριστή στην τράπεζα που επέλεξε να εφαρμόσει την εν λόγω πλατφόρμα. Μόλις επιτευχθεί ένα τόσο υψηλό επίπεδο προνομιακής πρόσβασης,ο ουρανός είναι το όριο . Οι χάκερ θα μπορούσαν να το έκαναν κατάχρηση με πολλούς τρόπους, από την εξάντληση λογαριασμών πελατών έως την κλοπή των προσωπικών τους στοιχείων και την πρόσβαση σε πληροφορίες σχετικά με προηγούμενες συναλλαγές.

Η ευπάθεια ανακαλύφθηκε ενώ οι ερευνητές παρακολουθούσαν την κυκλοφορία στον ιστότοπο της εταιρείας που δεν κατονομάζεται. Εκεί, παρέκοψαν ένα σφάλμα στο API που καλείται από το πρόγραμμα περιήγησης για την αντιμετώπιση αιτημάτων.

Κακός χειρισμός παραμέτρων στη ρίζα του ελαττώματος

Το exploit επέτρεψε την εισαγωγή κώδικα μέσα σε μια παράμετρο στη σελίδα και, στη συνέχεια, το API να επικοινωνήσει με τη νέα, αυθαίρετη διεύθυνση URL τομέα αντί για αυτήν που παρέχεται από το τραπεζικό ίδρυμα που χρησιμοποιεί την πλατφόρμα.

Ως απόδειξη της ευπάθειας, η Salt Labs εξέτασε ένα κακό αίτημα, αντικαθιστώντας τον τομέα του τραπεζικού ιδρύματος με δικό τους και στη συνέχεια έλαβε τη σύνδεση στο τέλος τους. Εν ολίγοις, αυτό απέδειξε ότι ο διακομιστής δεν ελέγχει ποτέ τη συμβολοσειρά τομέα και "εμπιστεύεται" οτιδήποτε λαμβάνει στην παράμετρο InstitutionURL, επιτρέποντας παραποίηση.

Σύμφωνα με την ερευνητική ομάδα, τα ελαττώματα και τα τρωτά σημεία που υπάρχουν στα API συνήθως παραβλέπονται, παρόλο που μπορεί να είναι άφθονα σε όλη τη θάλασσα των API που χρησιμοποιούνται ενεργά.