연구원들은 수백만 명의 사람들에게 잠재적으로 영향을 미칠 수 있는 은행 플랫폼의 주요 결함을 발견했습니다.

사이버 보안 연구팀은 이미 다수의 은행 시스템에 구현된 금융 서비스 플랫폼에서 심각한 취약점 을 발견했습니다.

Salt Labs 팀은 금융 플랫폼에서 사용하는 API에서 주요 결함을 발견했습니다. 익스플로잇은 서버 측 요청 위조 또는 SSRF였습니다. 성공적으로 악용된 경우 이 결함으로 인해 잠재적인 재앙이 발생하여 위협 행위자가 수백만 명의 사용자 의 은행 계좌를 유출 할 수 있었습니다.

결함으로 해커 관리자 액세스 허용

이 결함은 금융 서비스 플랫폼의 고객이 플랫폼 지갑에서 은행 계좌로 돈을 이동할 수 있는 기능이 포함된 페이지에서 발견되었습니다.

금융 서비스 플랫폼을 소유하고 제어하는 회사는 이름이 지정되지 않았지만 은행이 기존 은행에서 온라인 뱅킹으로 이동할 수 있도록 하는 서비스를 제공하는 회사로 설명됩니다. Salt Labs의 연구팀에 따르면 현재 수백만 명의 사람들이 이 플랫폼을 사용하고 있습니다.

발견된 문제는 잠재적인 위협 행위자에게 문제의 플랫폼을 구현하기로 선택한 은행에 대한 관리자 액세스 권한을 부여할 수 있을 만큼 충분히 중요했습니다. 이러한 높은 수준의 권한 있는 액세스 권한을 얻으면한계가 있습니다. 해커는 고객 계정 유출부터 개인 식별 정보 도용 및 과거 거래에 대한 정보 액세스에 이르기까지 다양한 방식으로 이를 악용할 수 있습니다.

이 취약점은 연구원들이 익명의 회사 웹사이트에서 트래픽을 모니터링하는 동안 발견되었습니다. 그곳에서 그들은 요청을 처리하기 위해 브라우저가 호출한 API 내에서 오류를 가로챕니다.

결함의 근원에서 잘못된 매개변수 처리

이 익스플로잇은 페이지의 매개변수 내부에 코드를 삽입한 다음 API가 플랫폼을 사용하는 은행 기관에서 제공한 URL 대신 새로운 임의의 도메인 URL에 연결하도록 합니다.

취약점의 증거로 Salt Labs는 잘못된 요청을 조작하여 은행 기관의 도메인을 자체 도메인으로 바꾼 다음 끝에서 연결을 수신했습니다. 간단히 말해서, 이것은 서버가 도메인 문자열을 절대 확인하지 않고 InstitutionURL 매개변수에서 수신하는 모든 것을 "신뢰"하여 변조를 허용한다는 것을 증명했습니다.

연구팀에 따르면 API에 존재하는 결함과 취약점은 활발히 사용되는 API의 바다에 풍부할 수 있지만 일반적으로 간과된다.