En ny rapport har identifierat betydande sårbarheter till följd av felimplementering av Elastic Stack, en grupp med öppen källkodsprodukter som använder API: er för kritisk dataaggregering, sökning och analysfunktioner.
Forskare från cybersäkerhetsföretaget Salt Säkerhet upptäckte problem som gjorde att de inte bara kunde starta attacker där alla användare kunde extrahera känslig kund- och systemdata utan också tillät alla användare att skapa ett denial of service -villkor som skulle göra systemet otillgängligt.
Forskarna sa att de först upptäckte sårbarheten samtidigt som de skyddade en av deras kunder, en stor online-till-konsument-plattform som tillhandahåller API-baserade mobilapplikationer och programvara som en tjänst för miljontals globala användare.
En gång de upptäckte sårbarheten, de kontrollerade andra kunder med hjälp av Elastic Stack och fann att nästan alla företag med det påverkades av sårbarheten – vilket utsatte användare för injektionsattacker och mer.
Salt Security -tjänstemän noterade snabbt att detta inte är en sårbarhet med Elastic Stack själv utan istället ett problem med hur det implementeras. Salt Securitys tekniska evangelist Michael Isbitski sa att sårbarheten inte är kopplad till några problem med Elastics mjukvara utan är relaterad till “en vanlig riskfylld implementering av användare.”
Han noterade att Elastic ger vägledning om hur man implementerar Elastic. Stapla instanser säkert men noterade att ansvaret åligger utövare att använda sig av vägledningen.
“Bristen på medvetenhet kring potentiella felkonfigurationer, felimplementeringar och klusterexponeringar är till stor del en samhällsproblem som bara kan lösas genom forskning och utbildning”, säger Isbitski till ZDNet.
“Elastic Stack är långt ifrån det enda exemplet på denna typ av implementeringsproblem, men företaget kan hjälpa till att utbilda sina användare precis som Salt Security har arbetat med CISO, säkerhetsarkitekter och andra applikationssäkerhetsutövare. varna dem för detta och andra API -sårbarheter och ge bästa metoder för att mildra dem. “
Josh Bressers, ledare för produktsäkerhet på Elastic, sa till ZDNet att korrekt datasäkerhet är svårt, särskilt eftersom utvecklingshastigheten ständigt ökar.
“Alla som använder databaser med öppen kod som Elasticsearch ibland felaktigt konfigurerar databasen felaktigt så att data kan vara tillgängliga via Internet”, sa Bressers och uppmanade användarna att ta råd från företaget om hur de ska behålla saker säkra.
“Elastic försöker mycket hårt för att göra det enkelt för utvecklare att vara säkra när de använder våra produkter. Vi öppnade X-Pack 2018 för att tillhandahålla säkerhetsfunktioner till alla användare gratis. Vi fortsätter att lägga till säkerhetsfunktioner i stacken, till exempel säkerhetsvarningar. när användare inte använder de kostnadsfria, inbyggda säkerhetsfunktionerna. “
Sårbarheten som Salt Security-forskare hittade skulle göra det möjligt för en hotaktör att missbruka bristen på behörighet mellan front-end och back-end-tjänster som ett sätt att få ett fungerande användarkonto med grundläggande behörighetsnivåer.
Därifrån kan en cyberattacker sedan exfiltrera känslig användar- och systemdata genom att göra “välutbildade gissningar om schemat för back-end-datalager och söka efter data som de inte är behöriga att komma åt”, enligt rapporten.
Salt Security -vd Roey Eliyahu sa att även om Elastic Stack används och är säkert, sågs samma arkitektoniska designfel i nästan alla miljöer som använder det.
“Elastic Stack API -sårbarheten kan leda till att känslig data exponeras som kan användas för att upprätthålla allvarliga bedrägerier och övergrepp, vilket skapar betydande affärsrisk”, säger Eliyahu.
Exploater som drar nytta av denna Elastic Stack -sårbarhet kan skapa “en kaskad av API -hot”, enligt Salt Security -forskare, som också visade att implementeringsfel i Elastic Stack -designen förvärras avsevärt när en angripare kedjar ihop flera utnyttjar.
Problemet har varit något som säkerhetsforskare länge har lyft fram med ett antal liknande produkter som MongoDB och HDFS.
“De specifika förfrågningar som skickas till de elastiska backend-tjänsterna som används för att utnyttja denna sårbarhet är svåra att testa för. Det här fallet visar varför arkitektur spelar roll för alla API-säkerhetslösningar du sätter in-du behöver förmågan att fånga betydande sammanhang om API användning över tid “, sa Isbitski.
“Det visar också hur kritiskt det är att skapa applikationsmiljöer korrekt. Varje organisation bör utvärdera API -integrationerna mellan sina system och applikationer, eftersom de direkt påverkar företagets säkerhetsställning.”
Forskare från företaget sa att de kunde få åtkomst till känsliga uppgifter som kontonummer, transaktionsbekräftelse nummer och annan information som skulle bryta mot GDPR -reglerna.
Rapporten beskriver andra åtgärder som kan vidtas genom sårbarheten, inklusive möjligheten att begå olika bedrägliga aktiviteter, utpressa pengar, stjäla identiteter och ta över konton.
Jon Gaines, senior applikationskonsult på nVisium, sa att Elastic Stack är “ökänt för överdriven dataexponering” och tillade att data för några år sedan – och som standard – avslöjades offentligt. Sedan dess har standardinställningarna ändrats men han noterade att detta inte betyder att äldre versioner inte är farfar eller att mindre konfigurationsändringar inte kan leda till båda dessa nyupptäckta sårbarheter.
“Det finns – och har varit – flera verktyg för öppen källkod som leder till upptäckten av dessa sårbarheter som jag har använt tidigare och fortsätter att använda. Tyvärr är den tekniska barriären för dessa sårbarheter extremt låg. Som ett resultat är risken för att en dålig kille upptäcker och utnyttjar dessa sårbarheter är hög, säger Gaines.
“Utifrån sett in är dessa sårbarheter sunt förnuft för säkerhetspersonal, auktorisation, hastighetsbegränsningar, ogiltigförklaring, parametrerade frågor osv. Men som datavårdare, administratör eller till och med utvecklare lär du dig ofta inte att utveckla eller underhålla med säkerhet i åtanke. “
Vulcan Cyber VD Yaniv Bar-Dayan tillade att den vanligaste molnsårbarheten orsakas av mänskliga fel och felkonfigurationer, och API: er är inte immuna.
< p> “Vi har alla sett exponerade kunddata och denial of service-attacker gör betydande materiell skada på hackade mål. Utnyttjande av denna sårbarhet kan undvikas men måste åtgärdas snabbt”, sa Bar-Dayan.
“Andra användare av Elastic Stack bör kontrollera sina egna implementationer för denna felkonfiguration och inte upprepa samma misstag.”
Säkerhet
T-Mobile-hack: Allt du behöver veta Surfshark VPN -recension: Det är billigt, men är det bra? De bästa webbläsarna för integritet Cybersäkerhet 101: Skydda din integritet De bästa antivirusprogrammen och apparna De bästa VPN -tjänsterna för företag och hemanvändning De bästa säkerhetsnycklarna för 2FA Ransomware -hotet växer: Vad måste hända för att stoppa attacker att bli värre? (ZDNet YouTube)
Relaterade ämnen:
Datahantering Säkerhet TV CXO -datacenter 