Tyrėjai nustato esminį bankininkystės platformos trūkumą, galintį paveikti milijonus
Kibernetinio saugumo tyrimų grupė aptiko reikšmingą finansinių paslaugų platformos pažeidžiamumą , kuris jau įdiegtas daugelyje bankų sistemų.
Komanda su „Salt Labs“ aptiko didelį finansinės platformos naudojamos API trūkumą. Išnaudojimas buvo serverio pusės užklausos klastojimas arba SSRF. Jei jis būtų buvęs sėkmingai išnaudotas, trūkumas galėjo sukelti potencialią nelaimę, leidžiančią grėsmės veikėjams nusausinti milijonų vartotojų banko sąskaitas .
Trūkumas gali suteikti įsilaužėliams administratoriaus prieigą
Trūkumas buvo aptiktas puslapyje, kuriame yra funkcionalumas, leidžiantis finansinių paslaugų platformos klientams perkelti pinigus iš platformos piniginės į savo banko sąskaitas.
Įmonė, kuriai priklauso ir kontroliuoja finansinių paslaugų platformą, nebuvo įvardyta, tačiau apibūdinama kaip ta, kuri siūlo paslaugas, leidžiančias bankams pereiti nuo tradicinės prie internetinės bankininkystės. „Salt Labs“ tyrimų grupės teigimu, šiuo metu šia platforma naudojasi milijonai žmonių.
Aptikta problema buvo pakankamai reikšminga, kad potencialiems grėsmės veikėjams būtų suteikta administratoriaus prieiga prie banko, kuris pasirinko įdiegti aptariamą platformą. Kai gaunamas toks aukštas privilegijuotos prieigos lygis,dangus yra riba . Piratai galėjo tuo piktnaudžiauti įvairiais būdais: nuo klientų paskyrų ištuštinimo iki jų asmenį identifikuojančios informacijos vagystės ir prieigos prie informacijos apie praeities sandorius.
Pažeidžiamumas buvo aptiktas tyrėjams stebint srautą neįvardytos įmonės svetainėje. Ten jie sulaikė API gedimą, kurį iškvietė naršyklė, kad galėtų apdoroti užklausas.
Blogas parametrų tvarkymas yra trūkumo priežastis
Išnaudojimas leido įterpti kodą į puslapio parametrą ir tada API susisiekti nauju, savavališku domeno URL, o ne pateiktu platformą naudojančios banko institucijos.
Kaip pažeidžiamumo įrodymą, „Salt Labs“ pateikė blogą užklausą, pakeisdama banko įstaigos domeną savo, o vėliau gaudama ryšį. Trumpai tariant, tai įrodė, kad serveris niekada netikrina domeno eilutės ir „pasitiki“ tuo, ką gauna parametre InstitutionURL, kad būtų galima sugadinti.
Tyrėjų komandos teigimu, API trūkumai ir pažeidžiamumas dažniausiai nepastebimi, nors jų gali būti gausu visoje aktyviai naudojamų API jūroje.