Raziskovalci najdejo veliko pomanjkljivost v bančni platformi, ki lahko vpliva na milijone

Raziskovalna skupina za kibernetsko varnost je odkrila pomembno ranljivost na platformi finančnih storitev, ki je bila že implementirana v velikem številu bančnih sistemov.

Ekipa s Salt Labs je odkrila veliko napako v API-ju, ki ga uporablja finančna platforma. Izkoriščanje je bilo ponarejanje zahtev na strani strežnika ali SSRF. Če bi ga uspešno izkoristili, bi lahko napaka privedla do potencialne katastrofe, ki bi akterjem grožnje omogočila, da izpraznijo bančne račune milijonov uporabnikov.

Napaka bi lahko hekerjem omogočila skrbniški dostop

Napako so odkrili na strani, ki vsebuje funkcionalnost, ki strankam platforme finančnih storitev omogoča, da denar iz svojih denarnic platforme premaknejo na svoje bančne račune.

Podjetje, ki ima v lasti in nadzoruje platformo za finančne storitve, ni bilo imenovano, ampak je opisano kot tisto, ki ponuja storitve, ki bankam omogočajo prehod s tradicionalnega na spletno bančništvo. Po mnenju raziskovalne skupine v Salt Labsu trenutno to platformo uporablja na milijone ljudi.

Odkrita težava je bila dovolj pomembna, da je lahko potencialnim akterjem groženj omogočila skrbniški dostop do banke, ki se je odločila za implementacijo zadevne platforme. Ko je enkrat dosežena tako visoka raven privilegiranega dostopa,je nebo meja . Hekerji bi to lahko zlorabili na več načinov, od črpanja računov strank do kraje njihovih osebnih podatkov in dostopa do informacij o preteklih transakcijah.

Ranljivost je bila odkrita, ko so raziskovalci spremljali promet na spletnem mestu neimenovanega podjetja. Tam so prestregli napako znotraj API-ja, ki ga je priklical brskalnik za obravnavanje zahtev.

Slabo ravnanje s parametri v korenu napake

Izkoriščanje je omogočilo vstavljanje kode znotraj parametra na strani, nato pa je API vzpostavil stik z novim, poljubnim URL-jem domene namesto tistega, ki ga je zagotovila bančna institucija, ki uporablja platformo.

Kot dokaz ranljivosti je Salt Labs izrekel slabo zahtevo in domeno bančne institucije zamenjal z lastno, nato pa je na svoji strani prejel povezavo. Skratka, to je dokazalo, da strežnik nikoli ne preveri niza domene in "zaupa" vsemu, kar prejme v parametru InstitutionURL, kar omogoča poseganje.

Po mnenju raziskovalne skupine so pomanjkljivosti in ranljivosti, ki so v API-jih, običajno spregledane, čeprav jih je lahko v izobilju v morju API-jev, ki se aktivno uporabljajo.