Onderzoekers vinden grote tekortkoming in het bankplatform dat mogelijk van invloed is op miljoenen
Een onderzoeksteam op het gebied van cyberbeveiliging ontdekte een significante kwetsbaarheid in een platform voor financiële diensten dat al in een groot aantal banksystemen is geïmplementeerd.
Het team van Salt Labs ontdekte een grote fout in de API die door het financiële platform wordt gebruikt. De exploit was een server-side request vervalsing of SSRF. Als het met succes was uitgebuit, had de fout kunnen leiden tot een potentiële ramp, waardoor bedreigingsactoren de bankrekeningen van miljoenen gebruikers konden leegmaken.
Fout kan hackers beheerderstoegang geven
De fout werd ontdekt in een pagina met functionaliteit waarmee klanten van het financiële dienstenplatform geld van hun platformportefeuilles naar hun bankrekeningen kunnen verplaatsen.
Het bedrijf dat het financiële serviceplatform bezit en beheert, werd niet genoemd, maar wordt beschreven als een bedrijf dat diensten aanbiedt waarmee banken kunnen overstappen van traditioneel naar online bankieren. Volgens het onderzoeksteam van Salt Labs zijn er momenteel miljoenen mensen die dat platform gebruiken.
Het ontdekte probleem was groot genoeg om potentiële dreigingsactoren beheerderstoegang te geven tot de bank die ervoor koos om het platform in kwestie te implementeren. Zodra een dergelijk hoog niveau van geprivilegieerde toegang is verkregen, isthe sky the limit. Hackers kunnen hier op vele manieren misbruik van hebben gemaakt, van het leegmaken van klantaccounts tot het stelen van hun persoonlijk identificeerbare informatie en het verkrijgen van toegang tot informatie over eerdere transacties.
De kwetsbaarheid werd ontdekt terwijl de onderzoekers het verkeer over de website van het niet nader genoemde bedrijf in de gaten hielden. Daar onderschepten ze een fout in de API die door de browser werd opgeroepen om verzoeken af te handelen.
Slechte parameterafhandeling aan de basis van de fout
De exploit maakte het mogelijk om code in een parameter op de pagina in te voegen en vervolgens de API contact te laten maken met de nieuwe, willekeurige domein-URL in plaats van degene die is verstrekt door de bankinstelling die het platform gebruikt.
Als bewijs van de kwetsbaarheid heeft Salt Labs een slecht verzoek gemanipuleerd, het domein van de bankinstelling vervangend door hun eigen domein en vervolgens de verbinding aan hun kant ontvangend. Kortom, dit bewees dat de server nooit de domeinstring controleert en alles "vertrouwt" wat het ontvangt in de InstitutionURL-parameter, waardoor geknoeid kan worden.
Volgens het onderzoeksteam worden fouten en kwetsbaarheden in API's vaak over het hoofd gezien, hoewel ze overvloedig aanwezig kunnen zijn in de zee van API's die actief worden gebruikt.