En ny rapport har identificeret betydelige sårbarheder som følge af fejlimplementering af Elastic Stack, en gruppe af open source-produkter, der bruger API'er til kritisk dataaggregering, søgning og analysefunktioner.
Forskere fra cybersikkerhedsfirmaet Salt Sikkerhed opdagede problemer, der tillod dem ikke kun at starte angreb, hvor enhver bruger kunne udtrække følsomme kunde- og systemdata, men også tillod enhver bruger at oprette en denial of service -tilstand, der ville gøre systemet utilgængeligt.
Forskerne sagde, at de først opdagede sårbarheden, mens de beskyttede en af deres kunder, en stor online forretning-til-forbruger-platform, der leverer API-baserede mobilapplikationer og software som en service til millioner af globale brugere.
Engang de opdagede sårbarheden, de tjekkede andre kunder ved hjælp af Elastic Stack og fandt ud af, at næsten alle virksomheder med det var påvirket af sårbarheden – hvilket udsatte brugere for injektionsangreb og mere.
Salt Security -embedsmænd bemærkede hurtigt, at dette ikke er en sårbarhed med Elastic Stack selv, men derimod et problem med, hvordan det implementeres. Salt Securitys tekniske evangelist Michael Isbitski sagde, at sårbarheden ikke er forbundet med noget problem med Elastic's software, men er relateret til “et almindeligt risikabelt implementeringsopsætning af brugere.”
Han bemærkede, at Elastic giver vejledning om, hvordan Elastic skal implementeres. Stack instanser sikkert, men bemærkede, at ansvaret påhviler praktiserende læger at gøre brug af vejledningen.
“Den manglende bevidsthed omkring potentielle fejlkonfigurationer, fejlimplementeringer og klyngeeksponeringer er stort set et samfundsproblem, der kun kan løses gennem forskning og uddannelse,” sagde Isbitski til ZDNet.
“Elastic Stack er langt fra det eneste eksempel på denne type implementeringsproblem, men virksomheden kan hjælpe med at uddanne sine brugere, ligesom Salt Security har arbejdet med CISO'er, sikkerhedsarkitekter og andre applikationssikkerhedsudøvere advare dem om denne og andre API -sårbarheder og give bedste praksis til afbødning. “
Josh Bressers, leder for produktsikkerhed hos Elastic, fortalte ZDNet, at korrekt datasikkerhed er hård, især da udviklingshastigheden konstant øges.
“Enhver, der bruger databaserede platforme med åben kode, såsom Elasticsearch, foretager nogle gange utilsigtet fejlkonfiguration af databasen, så dataene er tilgængelige over internettet,” sagde Bressers og opfordrede brugerne til at tage råd fra virksomheden om, hvordan de beholder tingene er sikre.
“Elastic forsøger meget hårdt at gøre det let for udviklere at være sikre, når de bruger vores produkter. Vi åbnede X-Pack i 2018 for at levere sikkerhedsfunktioner til alle brugere gratis. Vi fortsætter med at tilføje sikkerhedsfunktioner til stakken, såsom sikkerhedsadvarsler når brugerne ikke bruger de gratis, indbyggede sikkerhedsfunktioner. “
Sårbarheden fundet af Salt Security-forskere ville gøre det muligt for en trusselsaktør at misbruge den manglende autorisation mellem front-end og back-end-tjenester som en måde at få en fungerende brugerkonto med grundlæggende tilladelsesniveauer på.
Derfra kunne en cyberangreb derefter eksfiltrere følsomme bruger- og systemdata ved at lave “veluddannede gæt om skemaet for back-end datalagre og forespørgsel efter data, som de ikke har tilladelse til at få adgang til”, ifølge rapporten.
Salt Security CEO Roey Eliyahu sagde, at selvom Elastic Stack er meget udbredt og sikkert, så man de samme arkitektoniske designfejl i næsten alle miljøer, der bruger det.
“Elastic Stack API -sårbarheden kan føre til udsættelse af følsomme data, der kan bruges til at videreføre alvorlig svig og misbrug, hvilket skaber betydelig forretningsrisiko,” sagde Eliyahu.
Eksploit, der drager fordel af denne Elastic Stack -sårbarhed, kan skabe “en kaskade af API -trusler”, ifølge Salt Security -forskere, der også viste, at implementeringsfejlene i Elastic Stack -design forværres betydeligt, når en angriber kæder sammen flere udnytter.
Problemet har været noget, sikkerhedsforskere længe har fremhævet med en række lignende produkter som MongoDB og HDFS.
“De specifikke forespørgsler, der er indsendt til de elastiske back-end-tjenester, der bruges til at udnytte denne sårbarhed, er svære at teste for. Denne sag viser, hvorfor arkitektur betyder noget for enhver API-sikkerhedsløsning, du sætter i gang-du har brug for muligheden for at fange en væsentlig kontekst om API brug over tid, “sagde Isbitski.
“Det viser også, hvor kritisk det er at konstruere applikationsmiljøer korrekt. Hver organisation bør evaluere API -integrationerne mellem sine systemer og applikationer, da de direkte påvirker virksomhedens sikkerhedsposition.”
Forskere fra virksomheden sagde, at de kunne få adgang til følsomme data som kontonumre, transaktionsbekræftelsesnumre og andre oplysninger, der ville overtræde GDPR -reglerne.
Rapporten beskriver andre handlinger, der kan foretages gennem sårbarheden, herunder evnen til at begå forskellige former for svigagtige aktiviteter, afpresse midler, stjæle identiteter og overtage konti.
Jon Gaines, senior applikationssikkerhedskonsulent hos nVisium, sagde, at Elastic Stack er “berygtet for overdreven dataeksponering” og tilføjede, at data for få år siden – og som standard – blev afsløret offentligt. Siden da er standardindstillingerne ændret, men han bemærkede, at dette ikke betyder, at ældre versioner ikke er bedstefar i, eller at mindre konfigurationsændringer ikke kan føre til begge disse nyligt opdagede sårbarheder.
“Der er – og har været – flere open source -værktøjer, der fører til opdagelsen af disse sårbarheder, som jeg tidligere har brugt og fortsat bruger. Desværre er den tekniske barriere for disse sårbarheder ekstremt lav. Som følge heraf er risikoen for, at en dårlig fyr opdager og udnytter disse sårbarheder, er stor, “sagde Gaines.
“Set udefra er disse sårbarheder sund fornuft for sikkerhedsfagfolk, autorisation, takstbegrænsninger, ugyldighed, parametrerede forespørgsler og så videre. Men som dataforvalter, administrator eller endda udvikler bliver du ofte ikke lært at udvikle eller vedligeholde med sikkerhed i tankerne. “
Vulcan Cyber CEO Yaniv Bar-Dayan tilføjede, at den mest almindelige cloud-sårbarhed skyldes menneskelige fejl og fejlkonfigurationer, og API'er er ikke immun.
< p> “Vi har alle set udsatte kundedata og denial of service-angreb gør betydelig materiel skade på hackede mål. Udnyttelse af denne sårbarhed kan undgås, men skal afhjælpes hurtigt,” sagde Bar-Dayan.
“Andre brugere af Elastic Stack bør kontrollere deres egne implementeringer for denne fejlkonfiguration og ikke gentage den samme fejl.”
Sikkerhed
T-Mobile hack: Alt hvad du behøver at vide Surfshark VPN -anmeldelse: Det er billigt, men er det godt? De bedste browsere til beskyttelse af fortrolige oplysninger Cybersikkerhed 101: Beskyt dit privatliv Den bedste antivirussoftware og apps De bedste VPN'er til erhverv og hjemmebrug De bedste sikkerhedsnøgler til 2FA Ransomware -truslen vokser: Hvad skal der ske for at forhindre, at angreb bliver værre? (ZDNet YouTube)
Relaterede emner:
Datastyring Sikkerhed TV CXO datacentre