Tutkijat löytävät pankkiympäristössä merkittäviä puutteita, jotka voivat vaikuttaa miljooniin

Kyberturvallisuuden tutkimusryhmä löysi finanssipalvelualustaan merkittävän haavoittuvuuden , joka on jo otettu käyttöön useissa pankkijärjestelmissä.

Salt Labsin tiimi havaitsi vakavan puutteen rahoitusalustan käyttämässä API:ssa. Hyökkäys oli palvelinpuolen pyyntöväärennös tai SSRF. Jos sitä olisi hyödynnetty onnistuneesti, virhe olisi voinut johtaa mahdolliseen katastrofiin, jolloin uhkatekijät voivat tyhjentää miljoonien käyttäjien pankkitilit .

Virhe voi antaa hakkereille järjestelmänvalvojan pääsyn

Virhe löydettiin sivulta, joka sisältää toimintoja, joiden avulla rahoituspalvelualustan asiakkaat voivat siirtää rahaa alustan lompakoistaan pankkitileilleen.

Finanssipalvelualustan omistavaa ja hallitsevaa yritystä ei nimetty, mutta sen kuvataan tarjoavan palveluita, joiden avulla pankit voivat siirtyä perinteisestä verkkopankkipalveluun. Salt Labsin tutkimusryhmän mukaan tällä hetkellä miljoonia ihmisiä käyttää tätä alustaa.

Havaittu ongelma oli niin merkittävä, että se pystyi antamaan mahdollisille uhkatoimijoille järjestelmänvalvojan pääsyn pankkiin, joka valitsi kyseisen alustan käyttöönoton. Kun näin korkea etuoikeutettu käyttöoikeus on saatu,rajana on taivas . Hakkerit olisivat voineet käyttää tätä väärin monella tapaa asiakastilien tyhjentämisestä heidän henkilökohtaisesti tunnistettavien tietojen varastamiseen ja aiempien tapahtumien tietojen saamiseen.

Haavoittuvuus havaittiin, kun tutkijat seurasivat liikennettä nimettömän yrityksen verkkosivustolla. Siellä he havaitsivat vian API:ssa, jonka selain kutsui käsittelemään pyyntöjä.

Huono parametrien käsittely vian syynä

Hyödyntäminen salli koodin lisäämisen sivun parametrin sisään ja sitten API:n ottamaan yhteyttä uuteen, mielivaltaiseen verkkotunnuksen URL-osoitteeseen alustaa käyttävän pankin antaman URL-osoitteen sijaan.

Todisteena haavoittuvuudesta Salt Labs suoritti huonon pyynnön, korvasi pankkilaitoksen verkkotunnuksen omalla ja vastaanotti sitten yhteyden. Lyhyesti sanottuna tämä osoitti, että palvelin ei koskaan tarkista verkkotunnuksen merkkijonoa ja "luottaa" siihen, mitä se vastaanottaa InstitutionURL-parametrissa, mikä mahdollistaa peukaloinnin.

Tutkimusryhmän mukaan API:issa piilevät puutteet ja haavoittuvuudet jäävät usein huomiotta, vaikka niitä voi olla runsaasti aktiivisesti käytettyjen API-meren yli.