Las fallas de API en un mercado en línea de Lego ampliamente utilizado podrían haber permitido a los atacantes apoderarse de las cuentas de los usuarios, filtrar datos confidenciales almacenados en la plataforma e incluso obtener acceso a datos de producción internos para comprometer los servicios corporativos, según descubrieron los investigadores.
Investigadores de Salt Labs descubrieron las vulnerabilidades en Enlace de ladrillo, una plataforma de reventa digital propiedad de el grupo lego por comprar y vender Legos de segunda mano, lo que demuestra que, en términos tecnológicos, no todas las piezas de juguete de la compañía encajan perfectamente en su lugar.
El brazo de investigación de Salt Security descubrió ambas vulnerabilidades al investigar áreas del sitio que admiten campos de entrada de usuario, Shiran Yodev, investigadora de seguridad de Salts Labs, reveló en para informar publicado el 15 de diciembre.
Los investigadores encontraron cada una de las fallas principales que podrían explotarse para ataques en partes del sitio que permiten la entrada del usuario, que dijeron que a menudo es un lugar donde los problemas de seguridad de la API: un problema complejo y costoso para las organizaciones — surgir.
Una falla fue una vulnerabilidad de secuencias de comandos en sitios cruzados (XSS) que les permitió inyectar y ejecutar código en la máquina del usuario final de la víctima a través de un enlace diseñado, dijeron. El otro permitía la ejecución de un ataque de inyección de XML External Entity (XXE), donde una entrada XML que contiene una referencia a una entidad externa es procesada por un analizador XML débilmente configurado.
Abundan las debilidades de la API
Los investigadores tuvieron cuidado de enfatizar que no tenían la intención de señalar a Lego como un proveedor de tecnología particularmente negligente; por el contrario, las fallas de API en las aplicaciones orientadas a Internet son increíblemente comunes, dijeron.
Hay una razón clave para eso, dice Yodev a Dark Reading.: No importa la competencia de un equipo de diseño y desarrollo de TI, Seguridad API es una nueva disciplina que todos los desarrolladores y diseñadores web todavía están descubriendo.
“Encontramos fácilmente este tipo de vulnerabilidades graves de API en todo tipo de servicios en línea que investigamos”, dice. “Incluso las empresas con las herramientas de seguridad de aplicaciones más sólidas y los equipos de seguridad avanzados suelen tener lagunas en la lógica empresarial de su API”.
Y aunque ambas fallas podrían haberse descubierto fácilmente a través de pruebas de seguridad previas a la producción, "la seguridad de API sigue siendo una idea de último momento para muchas organizaciones", señala Scott Gerlach, cofundador y CSO de StackHawk, un proveedor de pruebas de seguridad de API.
“Por lo general, no entra en juego hasta que ya se ha implementado una API o, en otros casos, las organizaciones están utilizando herramientas heredadas que no están diseñadas para probar las API a fondo, dejando vulnerabilidades como secuencias de comandos entre sitios y ataques de inyección sin descubrir”, dice. .
Interés personal, respuesta rápida
La investigación para investigar BrickLink de Lego no pretendía avergonzar y culpar a Lego o "hacer que alguien se vea mal", sino más bien demostrar "cuán comunes son estos errores y educar a las empresas sobre los pasos que pueden tomar para proteger sus datos y servicios clave". dice Yodev.
Lego Group es la empresa de juguetes más grande del mundo y una marca enormemente reconocible que, de hecho, puede llamar la atención de la gente sobre el tema, dijeron los investigadores. La compañía gana miles de millones de dólares en ingresos por año, no solo por el interés de los niños en usar Legos, sino también como resultado de toda una comunidad de aficionados adultos, de la cual Yodev admite que es uno, que también colecciona y construye juegos de Lego.
Debido a la popularidad de Legos, BrickLink tiene más de 1 millón de miembros que usan su sitio.
Los investigadores descubrieron las fallas el 18 de octubre y, para su crédito, Lego respondió rápidamente cuando Salt Security reveló los problemas a la compañía el 23 de octubre, confirmando la divulgación en dos días. Las pruebas realizadas por Salt Labs confirmaron poco después, el 10 de noviembre, que los problemas se habían resuelto, dijeron los investigadores.
“Sin embargo, debido a la política interna de Lego, no pueden compartir ninguna información sobre las vulnerabilidades reportadas y, por lo tanto, no podemos confirmarlo positivamente”, reconoce Yodev. Además, esta política también evita que Salt Labs confirme o niegue si los atacantes explotaron cualquiera de las fallas en la naturaleza, dice.
Juntando las vulnerabilidades
Los investigadores encontraron la falla XSS en el cuadro de diálogo "Buscar nombre de usuario" de la función de búsqueda de cupones de BrickLinks, lo que condujo a una cadena de ataque utilizando una ID de sesión expuesta en una página diferente, dijeron.
“En el cuadro de diálogo 'Buscar nombre de usuario', un usuario puede escribir un texto libre que eventualmente termina representado en el HTML de la página web”, escribió Yodev. “Los usuarios pueden abusar de este campo abierto para ingresar texto que puede conducir a una condición XSS”.
Aunque los investigadores no pudieron usar la falla por sí sola para montar un ataque, encontraron una ID de sesión expuesta en una página diferente que podían combinar con la falla XSS para secuestrar la sesión de un usuario y lograr la toma de control de la cuenta (ATO), explicaron. .
“Los malos actores podrían haber usado estas tácticas para tomar el control total de la cuenta o para robar datos confidenciales de los usuarios”, escribió Yodev.
Los investigadores descubrieron la segunda falla en otra parte de la plataforma que recibe la entrada directa del usuario, llamada "Subir a la lista de buscados", que permite a los usuarios de BrickLink cargar una lista de piezas y/o conjuntos de Lego buscados en formato XML, dijeron.
La vulnerabilidad estaba presente debido a cómo el analizador XML del sitio usa entidades externas XML, una parte del estándar XML que define un concepto llamado entidad, o una unidad de almacenamiento de algún tipo, explicó Yodev en la publicación. En el caso de la página de BrickLinks, la implementación era vulnerable a una condición en la que el procesador XML puede revelar información confidencial a la que normalmente no puede acceder la aplicación, escribió.
Los investigadores explotaron la falla para montar un ataque de inyección XXE que permite leer un archivo del sistema con los permisos del usuario que lo ejecuta. Este tipo de ataque también puede permitir un vector de ataque adicional mediante la falsificación de solicitudes del lado del servidor, lo que podría permitir a un atacante obtener credenciales para una aplicación que se ejecuta en Amazon Web Services y, por lo tanto, violar una red interna, dijeron los investigadores.
Evitar fallas API similares
Los investigadores compartieron algunos consejos para ayudar a las empresas a evitar la creación de problemas de API similares que pueden explotarse en aplicaciones orientadas a Internet en sus propios entornos.
En el caso de las vulnerabilidades de la API, los atacantes pueden infligir el mayor daño si combinan ataques en varios temas o los realizan en rápida sucesión, escribió Yodev, algo que los investigadores demostraron es el caso de las fallas de Lego.
Para evitar el escenario creado con la falla XSS, las organizaciones deben seguir la regla general de "nunca confiar en la entrada del usuario", escribió Yodev. “La entrada debe desinfectarse y escaparse adecuadamente”, agregó, refiriendo a las organizaciones a la Hoja de trucos de prevención XSS del Proyecto de seguridad de aplicaciones web abiertas (OWASP) para obtener más información sobre este tema.
Las organizaciones también deben tener cuidado en la implementación de ID de sesión en sitios web porque es "un objetivo común para los piratas informáticos", que pueden aprovecharlo para secuestrar sesiones y apoderarse de cuentas, escribió Yodev.
“Es importante tener mucho cuidado al manipularlo y no exponerlo o utilizarlo indebidamente para otros fines”, explicó.
Finalmente, la forma más fácil de detener los ataques de inyección XXE como el que demostraron los investigadores es deshabilitar completamente las entidades externas en la configuración de su analizador XML, dijeron los investigadores. La OWASP tiene otro recurso útil llamado XXE Prevention Cheat Sheet que puede guiar a las organizaciones en esta tarea, agregaron.
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- Platoblockchain. Inteligencia del Metaverso Web3. Conocimiento amplificado. Accede Aquí.
- Fuente: https://www.darkreading.com/vulnerabilities-threats/api-flaws-lego-marketplace-user-accounts-data-at-risk
