A kutatók jelentős hibára bukkantak a banki platformon, amely milliókat érinthet

Egy kiberbiztonsági kutatócsoport jelentős sebezhetőséget fedezett fel egy pénzügyi szolgáltatási platformon, amelyet már számos bankrendszerben implementáltak.

A Salt Labs csapata jelentős hibát fedezett fel a pénzügyi platform által használt API-ban. A kihasználás szerveroldali kéréshamisítás vagy SSRF volt. Ha sikeresen kihasználták volna, a hiba potenciális katasztrófához vezethetett volna, ami lehetővé tette volna, hogy a fenyegetés szereplői több millió felhasználó bankszámláját ürítsék ki.

A hiba lehetővé teheti a hackerek adminisztrátori hozzáférését

A hibát egy olyan oldalon fedezték fel, amely olyan funkciókat tartalmaz, amelyek lehetővé teszik a pénzügyi szolgáltatási platform ügyfelei számára, hogy pénzt mozgassanak platformtárcájukból bankszámlájukra.

A pénzügyi szolgáltatási platformot birtokló és irányító céget nem nevezték meg, de úgy írják le, mint olyan szolgáltatásokat, amelyek lehetővé teszik a bankok számára, hogy a hagyományosról az online banki szolgáltatásokra térjenek át. A Salt Labs kutatócsoportja szerint jelenleg több millió ember használja ezt a platformot.

A felfedezett probléma elég jelentős volt ahhoz, hogy a potenciális fenyegetés szereplői adminisztrátori hozzáférést biztosítsanak ahhoz a bankhoz, amely a kérdéses platform bevezetését választotta. Ha egyszer ilyen magas szintű kiváltságos hozzáférést kap,az ég a határ . A hackerek sokféleképpen visszaélhettek ezzel, az ügyfélfiókok kiürítésétől kezdve a személyazonosításra alkalmas adataik ellopásáig és a múltbeli tranzakciókkal kapcsolatos információk eléréséig.

A sérülékenységet akkor fedezték fel, amikor a kutatók figyelték a meg nem nevezett cég weboldalának forgalmát. Ott elfogtak egy hibát az API-n belül, amelyet a böngésző hívott le a kérések kezelésére.

Rossz paraméterkezelés a hiba gyökerében

Az exploit lehetővé tette, hogy kódot illesszen be egy paraméterbe az oldalon, majd az API az új, tetszőleges domain URL-címével lépjen kapcsolatba a platformot használó bankintézet által megadott URL helyett.

A sérülékenység bizonyítékaként a Salt Labs egy rossz kérést orvosolt, lecserélte a bankintézet domainjét a sajátjára, majd megkapta a kapcsolatot. Röviden, ez bebizonyította, hogy a szerver soha nem ellenőrzi a tartományi karakterláncot, és "megbízik" bármiben is, amit az InstitutionURL paraméterben kap, lehetővé téve a manipulációt.

A kutatócsoport szerint az API-kban rejlő hibákat és sebezhetőségeket gyakran figyelmen kívül hagyják, pedig az aktívan használt API-k tengerében bőségesen előfordulhatnak.