Now Reading
API-Fehler im Lego-Marktplatz gefährden Benutzerkonten und Wissen

API-Fehler im Lego-Marktplatz gefährden Benutzerkonten und Wissen

API-Fehler im Lego-Marktplatz gefährden Benutzerkonten und Daten

[ad_1]

API-Fehler in einem weit verbreiteten Lego-Online-Marktplatz hätten es Angreifern geben können, Benutzerkonten zu übernehmen, hinauf jener Plattform gespeicherte sensible Wissen zu verlieren und sogar Zugriff hinauf interne Produktionsdaten zu erhalten, um Unternehmensdienste zu kompromittieren, nach sich ziehen Forscher herausgefunden.

Forscher von Salt Labs entdeckten die Schwachstellen in BrickLink, einer digitalen Wiederverkaufsplattform jener Lego-Posten pro den Kauf und Verkauf von gebrauchten Legos, und zeigten, dass – jedenfalls technologisch – nicht nicht mehr da Spielzeugteile des Unternehmens perfekt einrasten.

Jener Forschungszweig von Salt Security entdeckte jedwederlei Schwachstellen, während er Bereiche jener Website untersuchte, die Benutzereingabefelder unterstützen, enthüllte Shiran Yodev, Sicherheitsforscherin von Salts Labs, in einem am 15. Monat der Wintersonnenwende veröffentlichten Report.

Die Forscher fanden nicht mehr da Kernfehler, die pro Angriffe ausgenutzt werden könnten, in Teilen jener Website, die Benutzereingaben zulassen, welches ihrer Meinung nachdem vielerorts ein Ort ist, an dem API-Sicherheitsprobleme hervortreten – ein komplexes und kostspieliges Problem pro Unternehmen.

Ein Fehler war eine Cross-Site-Scripting (XSS)-Schwachstelle, die es ihnen ermöglichte, Kode hinauf dem Computer eines betroffenen Endbenutzers jenseits verdongeln manipulierten Link einzuschleusen und auszuführen, sagten sie. Jener andere ermöglichte die Offenlegung eines XML External Entity (XXE) Injection-Angriffs, im Zusammenhang dem eine XML-Eintrag, die verdongeln Verweis hinauf eine externe Symbolfigur enthält, von einem schwach konfigurierten XML-Parser verarbeitet wird.

API-Zehren gibt es zuhauf

Die Forscher betonten sorgfältig, dass sie Lego nicht wie Seltenheitswert haben fahrlässigen Technologieanbieter herausstellen wollten – im Gegenteil, API-Fehler in internetbasierten Anwendungen seien unglaublich vielerorts, sagten sie.

Zu diesem Zweck gibt es verdongeln Hauptgrund, sagt Yodev oppositionell Dark Reading: Unabhängig von jener Kompetenz eines IT-Konzept- und Entwicklungsteams ist API-Sicherheit eine neue Wissenschaftsdisziplin, die nicht mehr da Webentwickler und -designer noch herausfinden zu tun sein.

„Wir finden ebendiese Weise von schwerwiegenden API-Schwachstellen in allen Arten von Online-Diensten, die wir untersuchen“, sagt er. „Selbst Unternehmen mit den robustesten Anwendungssicherheitstools und fortschrittlichen Sicherheitsteams nach sich ziehen vielerorts Lücken in ihrer API-Geschäftslogik.“

Und obwohl jedwederlei Schwachstellen durch Sicherheitstests vor jener Produktion leichtgewichtig hätten entdeckt werden können, „ist API-Sicherheit pro viele Unternehmen immer noch ein nachträglicher Geistesblitz“, bemerkt Scott Gerlach, Mitbegründer und CSO im Zusammenhang StackHawk, einem Versorger von API-Sicherheitstests.

„Normalerweise kommt es erst zum Tragen, nachdem eine API schon bereitgestellt wurde, oder in anderen Fällen verwenden Organisationen Legacy-Tools, die nicht zum gründlichen Testen von APIs entwickelt wurden, wodurch Schwachstellen wie Cross-Site-Scripting und Injection-Angriffe unentdeckt bleiben“, sagt er .

Persönliches Motivation, schnelle Reaktion

Die Wissenschaft zur Untersuchung von Legos BrickLink sollte Lego nicht erniedrigen und beschuldigen oder „jemanden schlecht aussehen lassen“, sondern vielmehr zeigen, „wie vielerorts ebendiese Fehler sind, und Unternehmen jenseits Schritte aufklären, die sie zum Sicherheit ihrer wichtigsten Wissen und Dienste unternehmen können“. Yodev sagt.

Die Lego-Posten ist dasjenige weltweit größte Spielzeugunternehmen und eine Marke mit hohem Wiedererkennungswert, die die Mitbringsel jener Menschen tatsächlich hinauf dasjenige Themenkreis lenken kann, sagten die Forscher. Dasjenige Unternehmen erwirtschaftet jährlich Einnahmen in Milliardenhöhe, nicht nur aufgrund des Interesses von Kindern an jener Verwendung von Legos, sondern im gleichen Sinne aufgrund einer ganzen erwachsenen Hobby-Gemeinschaft – zu jener Yodev zugibt, dass er einer ist – die ebenfalls Lego-Sets sammelt und baut.

Aufgrund jener Popularität von Legos hat BrickLink mehr wie 1 Million Mitglieder, die seine Website nutzen.

Die Forscher entdeckten die Fehler am 18. zehnter Monat des Jahres, und Lego reagierte schnell, wie Salt Security dem Unternehmen die Probleme am 23. zehnter Monat des Jahres offenbarte, und bestätigte die Offenlegung intrinsisch von zwei Tagen. Tests, die von Salt Labs durchgeführt wurden, bestätigten von kurzer Dauer darauf, am 10. November, dass die Probleme gelöst wurden, sagten die Forscher.

„Aufgrund jener internen Richtlinien von Lego können sie jedoch keine Informationen jenseits gemeldete Schwachstellen weitergeben, und wir können sie von dort nicht positiv gegenzeichnen“, räumt Yodev ein. Darüber hinaus hindert ebendiese Richtlinie Salt Labs daran, zu gegenzeichnen oder zu leugnen, ob Angreifer verdongeln jener Fehler in freier Wildbahn ausgenutzt nach sich ziehen, sagt er.

Zusammenfügen jener Schwachstellen

Forscher fanden den XSS-Fehler im Dialogfeld „Benutzernamen finden“ jener Kupon-Suchfunktion von BrickLinks, welches zu einer Angriffskette führte, im Zusammenhang jener eine Sitzungs-ID verwendet wurde, die hinauf einer anderen Seite angezeigt wurde, sagten sie.

„Im Dialogfeld ‚Benutzernamen finden‘ kann ein Benutzer verdongeln freien Text schreiben, jener schließlich in den Hypertext Markup Language-Kode jener Webseite gerendert wird“, schrieb Yodev. “Benutzer können dieses offene Feld misshandeln, um Text einzugeben, jener zu einer XSS-Grundvoraussetzung münden kann.”

Obwohl die Forscher den Fehler lediglich nicht pro verdongeln Überfall verwenden konnten, fanden sie eine offengelegte Sitzungs-ID hinauf einer anderen Seite, die sie mit dem XSS-Fehler kombinieren konnten, um die Sitzung eines Benutzers zu kapern und eine Kontoübernahme (ATO) zu glücken, erklärten sie .

„Böswillige Akteure könnten ebendiese Taktiken pro eine vollständige Kontoübernahme oder zum Stehlen sensibler Benutzerdaten verwendet nach sich ziehen“, schrieb Yodev.

Die Forscher entdeckten den zweiten Fehler in einem anderen Teil jener Plattform, jener direkte Benutzereingaben erhält, genannt „Upload to Wanted List“, jener es BrickLink-Benutzern ermöglicht, eine verkettete Liste gesuchter Lego-Teile und/oder -Sets im XML-Format hochzuladen, sagten sie.

Die Schwachstelle bestand darin, wie jener XML-Parser jener Website externe XML-Entitäten verwendet, verdongeln Teil des XML-Standards, jener ein Linie namens Symbolfigur oder eine Weise Speichereinheit definiert, erklärte Yodev in dem Mitgliedsbeitrag. Im Sachverhalt jener BrickLinks-Seite war die Implementierung labil pro eine Grundvoraussetzung, in jener jener XML-Prozessor vertrauliche Informationen offenlegen könnte, hinauf die die Inanspruchnahme normalerweise nicht zupacken kann, schrieb er.

Forscher nutzten den Fehler aus, um verdongeln XXE-Injection-Überfall zu starten, jener dasjenige Vorlesung halten einer Systemdatei mit den Berechtigungen des aktiven Benutzers ermöglicht. Solche Weise von Überfall kann im gleichen Sinne verdongeln zusätzlichen Angriffsvektor mit serverseitiger Anforderungsfälschung geben, die es einem Angreifer geben könnte, Anmeldeinformationen pro eine Inanspruchnahme zu erhalten, die hinauf Amazon Web Services vollzogen wird, und so ein internes Netzwerk zu verletzen, sagten die Forscher.

Vermeidung ähnlicher API-Fehler

Die Forscher gaben manche Ratschläge weiter, um Unternehmen hierbei zu helfen, ähnliche API-Probleme zu vermeiden, die in ihren eigenen Umgebungen pro Anwendungen mit Internetzugriff ausgenutzt werden können.

Im Sachverhalt von API-Schwachstellen können Angreifer den größten Schaden servieren, wenn sie Angriffe hinauf verschiedene Probleme kombinieren oder sie in schneller Folge realisieren, schrieb Yodev, welches die Forscher im Zusammenhang den Lego-Fehlern gezeigt nach sich ziehen.

Um dasjenige mit dem XSS-Fehler geschaffene Szenario zu vermeiden, sollten Unternehmen die Faustregel befolgen, „Benutzereingaben niemals zu vertrauen“, schrieb Yodev. „Eingaben sollten ordnungsgemäß bereinigt und maskiert werden“, fügte er hinzu und verwies Organisationen hinauf dasjenige XSS Prevention Cheat Sheet des Open Web Application Security Project (OWASP) pro weitere Informationen zu diesem Themenkreis.

Unternehmen sollten im gleichen Sinne im Zusammenhang jener Implementierung von Sitzung-IDs hinauf Websites mit Webzugriff vorsichtig sein, da dies „ein häufiges Ziel pro Hacker“ ist, die sie pro Sitzung-Hijacking und Kontoübernahmen nutzen können, schrieb Yodev.

„Es ist wichtig, beim Umgang damit sehr vorsichtig zu sein und es nicht freizulegen oder pro andere Zwecke zu misshandeln“, erklärte er.

Schließlich besteht jener einfachste Weg, XXE-Injection-Angriffe wie den von den Forschern demonstrierten zu stoppen, darin, externe Entitäten in jener Konfiguration Ihres XML-Parsers vollwertig zu deaktivieren, sagten die Forscher. Dasjenige OWASP hat eine weitere nützliche Ressource namens XXE Prevention Cheat Sheet, die Organisationen im Zusammenhang dieser Übertragung anleiten kann, fügten sie hinzu.

[ad_2]
View Comments (0)

Leave a Reply

Your email address will not be published.

Scroll To Top