Araştırmacılar, Milyonları Etkileyen Bankacılık Platformunda Büyük Bir Kusur Buluyor

Bir siber güvenlik araştırma ekibi, çok sayıda bankacılık sisteminde halihazırda uygulanmış olan bir finansal hizmetler platformunda önemli bir güvenlik açığı keşfetti.

Salt Labs ekibi, finansal platform tarafından kullanılan API'de büyük bir kusur keşfetti. İstismar, sunucu tarafı istek sahteciliği veya SSRF idi. Başarıyla istismar edilmiş olsaydı, kusur potansiyel bir felakete yol açarak tehdit aktörlerinin milyonlarca kullanıcının banka hesaplarını boşaltmasına izin verebilirdi.

Kusur, bilgisayar korsanlarının yönetici erişimine izin verebilir

Kusur, finansal hizmetler platformunun müşterilerinin platform cüzdanlarından banka hesaplarına para taşımasına olanak tanıyan işlevsellik içeren bir sayfada keşfedildi.

Finansal hizmet platformunun sahibi ve kontrol eden şirketin adı verilmedi, ancak bankaların geleneksel bankacılıktan çevrimiçi bankacılığa geçmesine izin veren hizmetler sunan bir şirket olarak tanımlandı. Salt Labs'deki araştırma ekibine göre, şu anda bu platformu kullanan milyonlarca insan var.

Keşfedilen sorun, söz konusu platformu uygulamayı seçen bankaya potansiyel tehdit aktörlerine yönetici erişimi verebilecek kadar önemliydi. Bu kadar yüksek düzeyde ayrıcalıklı erişim elde edildiğinde,sınır gökyüzüdür. Bilgisayar korsanları, müşteri hesaplarını boşaltmaktan kişisel olarak tanımlanabilir bilgilerini çalmaya ve geçmiş işlemlerle ilgili bilgilere erişmeye kadar birçok şekilde bunu kötüye kullanabilirdi.

Güvenlik açığı, araştırmacılar, adı açıklanmayan şirketin web sitesindeki trafiği izlerken keşfedildi. Orada, isteklerle ilgilenmek için tarayıcı tarafından çağrılan API içinde bir hatayı yakaladılar.

Kusurun temelinde hatalı parametre işleme

İstismar, sayfadaki bir parametrenin içine kod eklemeye ve ardından API'nin platformu kullanan bankacılık kurumu tarafından sağlanan URL yerine yeni, rastgele alan URL'siyle iletişim kurmasına izin verdi.

Güvenlik açığının kanıtı olarak, Salt Labs, bankacılık kurumunun etki alanını kendilerininkiyle değiştirerek, ardından bağlantıyı kendi taraflarında alarak kötü bir istekte bulundu. Kısacası bu, sunucunun etki alanı dizesini asla kontrol etmediğini ve InstitutionURL parametresinde aldığı her şeye "güvendiğini" kanıtlayarak kurcalamaya izin verir.

Araştırma ekibine göre, API'lerde bulunan kusurlar ve güvenlik açıkları, aktif olarak kullanılan API'ler denizinde bol miktarda bulunabilseler de genellikle gözden kaçıyor.