Computer Security Forskere finner store feil i bankplattformen som...

Forskere finner store feil i bankplattformen som potensielt kan påvirke millioner

Et forskningsteam for cybersikkerhet oppdaget en betydelig sårbarhet i en plattform for finansielle tjenester som allerede er implementert i et stort antall banksystemer.

Teamet med Salt Labs oppdaget en stor feil i API-en som brukes av den finansielle plattformen. Utnyttelsen var en forespørselsforfalskning på serversiden eller SSRF. Hvis den hadde blitt utnyttet med hell, kunne feilen ha ført til en potensiell katastrofe, slik at trusselaktører kunne tømme bankkontoene til millioner av brukere.

Feil kan gi hackere administratortilgang

Feilen ble oppdaget på en side som inneholder funksjonalitet som lar kunder av plattformen for finansielle tjenester flytte penger fra plattformens lommebøker til bankkontoene sine.

Selskapet som eier og kontrollerer den finansielle tjenesteplattformen ble ikke navngitt, men beskrives som et som tilbyr tjenester som lar bankene gå fra tradisjonell til nettbank. Ifølge forskerteamet ved Salt Labs er det for tiden millioner av mennesker som bruker den plattformen.

Problemet som ble oppdaget var betydelig nok til å kunne gi potensielle trusselaktører administratortilgang til banken som valgte å implementere den aktuelle plattformen. Når et så høyt nivå av privilegert tilgang er oppnådd,er himmelen grensen . Hackere kunne ha misbrukt dette på mange måter, fra å tømme kundekontoer til å stjele deres personlig identifiserbare informasjon og få tilgang til informasjon om tidligere transaksjoner.

Sårbarheten ble oppdaget mens forskerne overvåket trafikk over det ikke navngitte selskapets nettsted. Der fanget de opp en feil i API-en som ble kalt opp av nettleseren for å håndtere forespørsler.

Dårlig parameterhåndtering er roten til feilen

Utnyttelsen tillot å sette inn kode i en parameter på siden og deretter få API-en til å kontakte den nye, vilkårlige domene-URLen i stedet for den som ble gitt av bankinstitusjonen som bruker plattformen.

Som bevis på sårbarheten tok Salt Labs en dårlig forespørsel, og erstattet domenet til bankinstitusjonen med sitt eget, og mottok deretter forbindelsen på sin side. Kort sagt, dette beviste at serveren aldri sjekker domenestrengen og "stoler på" hva den mottar i InstitutionURL-parameteren, noe som tillater tukling.

Ifølge forskerteamet blir feil og sårbarheter som ligger i API-er ofte oversett, selv om de kan være rikelig på tvers av havet av API-er som brukes aktivt.

Laster inn...