Pētnieki atklāj būtisku trūkumu banku platformā, kas var ietekmēt miljonus
Kiberdrošības izpētes grupa atklāja būtisku ievainojamību finanšu pakalpojumu platformā, kas jau ir ieviesta daudzās banku sistēmās.
Komanda ar Salt Labs atklāja būtisku trūkumu API, ko izmanto finanšu platforma. Ekspluatācija bija servera puses pieprasījuma viltošana vai SSRF. Ja tas būtu veiksmīgi izmantots, defekts varētu izraisīt potenciālu katastrofu, ļaujot apdraudējuma dalībniekiem iztukšot miljoniem lietotāju bankas kontus .
Trūkums var ļaut hakeriem piekļūt administratoram
Trūkums tika atklāts lapā, kurā ir funkcionalitāte, kas ļauj finanšu pakalpojumu platformas klientiem pārvietot naudu no platformas maka uz saviem bankas kontiem.
Uzņēmums, kuram pieder un kura kontrolē finanšu pakalpojumu platformu, netika nosaukts, bet tiek raksturots kā tāds, kas piedāvā pakalpojumus, kas ļauj bankām pāriet no tradicionālās uz tiešsaistes banku. Saskaņā ar Salt Labs pētnieku grupas datiem, pašlaik ir miljoniem cilvēku, kas izmanto šo platformu.
Atklātā problēma bija pietiekami nozīmīga, lai potenciālajiem apdraudējumiem varētu nodrošināt administratora piekļuvi bankai, kas izvēlējās ieviest attiecīgo platformu. Kad tiek iegūts tik augsts priviliģētās piekļuves līmenis,debesis ir robeža . Hakeri to varēja ļaunprātīgi izmantot daudzos veidos, sākot no klientu kontu iztukšošanas līdz viņu personiski identificējamās informācijas nozagšanai un piekļuvei informācijai par iepriekšējiem darījumiem.
Ievainojamība tika atklāta, pētniekiem pārraugot trafiku nenosauktā uzņēmuma vietnē. Tur viņi pārtvēra kļūdu API, ko pārlūkprogramma izsauca, lai apstrādātu pieprasījumus.
Trūkuma pamatā ir slikta parametru apstrāde
Ekspluatācija ļāva ievietot kodu lapas parametrā un pēc tam likt API sazināties ar jauno, patvaļīgo domēna URL, nevis to, ko nodrošina platformu izmantojošā bankas iestāde.
Kā pierādījumu ievainojamībai Salt Labs izpildīja sliktu pieprasījumu, aizstājot bankas iestādes domēnu ar savu, pēc tam saņemot savienojumu savā galā. Īsāk sakot, tas pierādīja, ka serveris nekad nepārbauda domēna virkni un "uzticas" tam, ko tas saņem parametrā InstitutionURL, ļaujot veikt manipulācijas.
Pēc pētnieku grupas domām, API nepilnības un ievainojamības parasti tiek ignorētas, lai gan tās var būt ļoti daudz visā aktīvi izmantoto API jūrā.