Cercetătorii găsesc un defect major în platforma bancară care poate afecta milioane de oameni

O echipă de cercetare în domeniul securității cibernetice a descoperit o vulnerabilitate semnificativă într-o platformă de servicii financiare care a fost deja implementată într-un număr mare de sisteme bancare.

Echipa cu Salt Labs a descoperit un defect major în API-ul utilizat de platforma financiară. Exploatarea a fost o falsificare de solicitare pe partea serverului sau SSRF. Dacă ar fi fost exploatat cu succes, defectul ar fi putut duce la un potențial dezastru, permițând actorilor de amenințare să epuizeze conturile bancare ale milioane de utilizatori.

Defectul ar putea permite hackerilor accesul de administrator

Defectul a fost descoperit într-o pagină care conține funcționalități care le permite clienților platformei de servicii financiare să mute bani din portofelele platformei în conturile bancare.

Compania care deține și controlează platforma de servicii financiare nu a fost numită, dar este descrisă ca fiind una care oferă servicii care permit băncilor să treacă de la banca tradițională la cea online. Potrivit echipei de cercetare de la Salt Labs, în prezent există milioane de oameni care folosesc această platformă.

Problema descoperită a fost suficient de semnificativă pentru a putea oferi potențialilor actori amenințări acces administrativ la banca care a ales să implementeze platforma în cauză. Odată ce se obține un nivel atât de ridicat de acces privilegiat,cerul este limita . Hackerii ar fi putut abuza de acest lucru în multe feluri, de la epuizarea conturilor clienților până la furtul informațiilor lor de identificare personală și accesarea informațiilor despre tranzacțiile anterioare.

Vulnerabilitatea a fost descoperită în timp ce cercetătorii monitorizau traficul pe site-ul web al companiei fără nume. Acolo, au interceptat o eroare în API-ul apelat de browser pentru a face față solicitărilor.

Gestionarea greșită a parametrilor la rădăcina defectului

Exploatarea a permis inserarea codului în interiorul unui parametru din pagină și apoi API-ul să contacteze noul URL arbitrar al domeniului în loc de cel furnizat de instituția bancară care folosește platforma.

Ca dovadă a vulnerabilității, Salt Labs a mânuit o cerere proastă, înlocuind domeniul instituției bancare cu al lor, apoi primind conexiunea pe partea lor. Pe scurt, acest lucru a dovedit că serverul nu verifică niciodată șirul de domeniu și „are încredere” în orice primește în parametrul InstitutionURL, permițând manipularea.

Potrivit echipei de cercetare, defectele și vulnerabilitățile care apar în API-uri sunt de obicei trecute cu vederea, chiar dacă pot fi abundente în marea de API-uri care sunt utilizate în mod activ.