En ny rapport har identifisert betydelige sårbarheter som følge av feilimplementering av Elastic Stack, en gruppe med åpen kildekode-produkter som bruker API-er for kritisk dataaggregering, søk og analysefunksjoner.
Forskere fra cybersikkerhetsfirmaet Salt Security oppdaget problemer som tillot dem å ikke bare starte angrep der enhver bruker kunne trekke ut sensitive kunde- og systemdata, men også tillate enhver bruker å opprette en tjenestenekt som ville gjøre systemet utilgjengelig.
Forskerne sa at de først oppdaget sårbarheten mens de beskyttet en av kundene sine, en stor online-til-forbruker-plattform som tilbyr API-baserte mobilapplikasjoner og programvare som en tjeneste for millioner av globale brukere. < /p>
Når de oppdaget sårbarheten, sjekket de andre kunder ved hjelp av Elastic Stack og fant ut at nesten alle bedrifter med den ble påvirket av sårbarheten – som utsatte brukere for injeksjonsangrep og mer.
Salt Security -tjenestemenn merket raskt at dette ikke er et sårbarhet med Elastic Stack selv, men i stedet et problem med hvordan det implementeres. Salt Securitys tekniske evangelist Michael Isbitski sa at sårbarheten ikke er knyttet til noe problem med Elastics programvare, men er relatert til “et vanlig risikabelt implementeringsoppsett av brukere.”
Han bemerket at Elastic gir veiledning om hvordan man skal implementere Elastic. Stack forekomster sikkert, men bemerket at ansvaret påhviler utøverne å benytte seg av veiledningen.
“Mangelen på bevissthet rundt potensielle feilkonfigurasjoner, feilimplementeringer og klyngeeksponeringer er i stor grad et samfunnsproblem som bare kan løses gjennom forskning og utdanning,” sa Isbitski til ZDNet.
“Elastic Stack er langt fra det eneste eksemplet på denne typen implementeringsproblem, men selskapet kan hjelpe med å utdanne brukerne sine akkurat som Salt Security har jobbet med CISOer, sikkerhetsarkitekter og andre applikasjonssikkerhetsutøvere for å varsle dem om dette og andre API sårbarheter og gi gode fremgangsmåter for å redusere. “
Sårbarheten vil tillate en trusselsaktør å misbruke mangelen på autorisasjon mellom front-end og back-end-tjenester som en måte å få en fungerende brukerkonto med grunnleggende tillatelsesnivåer .
Derfra kan en cyberangrep deretter eksfiltrere sensitive bruker- og systemdata ved å gjøre “utdannede gjetninger om skjemaet for back-end datalagre og spørre etter data de ikke er autorisert til å få tilgang til”, ifølge rapporten.
Salt Security -sjef Roey Eliyahu sa at selv om Elastic Stack er mye brukt og sikkert, ble de samme arkitektoniske designfeilene sett i nesten alle miljøer som bruker den.
“Sårbarheten i Elastic Stack API kan føre til eksponering av sensitive data som kan brukes til å videreføre alvorlig svindel og misbruk, og skape betydelig forretningsrisiko,” sa Eliyahu.
Utnyttelser som utnytter denne sårbarheten i Elastic Stack kan skape “en kaskade av API -trusler”, ifølge Salt Security -forskere, som også viste at implementeringsfeilene i Elastic Stack -designen forverres betydelig når en angriper kjeder sammen flere utnytter.
Problemet har vært noe sikkerhetsforskere lenge har fremhevet med en rekke lignende produkter som MongoDB og HDFS.
“De spesifikke spørringene som er sendt til de elastiske backend-tjenestene som brukes til å utnytte dette sikkerhetsproblemet, er vanskelig å teste for. Denne saken viser hvorfor arkitektur er viktig for enhver API-sikkerhetsløsning du setter i gang-du trenger muligheten til å fange vesentlig kontekst om API bruk over tid, “sa Isbitski.
“Det viser også hvor kritisk det er å arkitektonisere applikasjonsmiljøer riktig. Hver organisasjon bør evaluere API -integrasjonene mellom systemene og applikasjonene sine, siden de direkte påvirker selskapets sikkerhetsstilling.”
Forskere fra selskapet sa at de kunne få tilgang til sensitive data som kontonumre, transaksjonsbekreftelsesnumre og annen informasjon som ville bryte GDPR -regelverket.
Rapporten beskriver andre handlinger som kan iverksettes gjennom sårbarheten, inkludert muligheten til å begå en rekke uredelige aktiviteter, utpresse midler, stjele identiteter og overta kontoer.
Jon Gaines, senior applikasjonssikkerhetskonsulent ved nVisium, sa at Elastic Stack er “beryktet for overdreven dataeksponering” og la til at data for noen år siden – og som standard – ble avslørt offentlig. Siden da har standardene endret seg, men han bemerket at dette ikke betyr at eldre versjoner ikke er bestefar eller at mindre konfigurasjonsendringer ikke kan føre til begge disse nylig oppdagede sårbarhetene.
“Det er – og har vært – flere open source -verktøy som fører til oppdagelsen av disse sårbarhetene som jeg har brukt tidligere og fortsetter å bruke. Dessverre er den tekniske barrieren for disse sårbarhetene ekstremt lav. Som et resultat er risikoen for at en skurk oppdager og utnytter disse sårbarhetene er stor, sier Gaines.
“Utenfra og inn, er disse sårbarhetene sunn fornuft for sikkerhetsfagfolk, autorisasjon, takstbegrensninger, ugyldighet, parameteriserte spørringer og så videre. Men som datavekter, administrator eller til og med utvikler blir du ofte ikke lært å utvikle eller vedlikeholde med tanke på sikkerhet. “
Yaniv Bar-Dayan, administrerende direktør i Vulcan Cyber, la til at det vanligste skysårbarheten skyldes menneskelige feil og feilkonfigurasjoner, og at API-er ikke er immun.
< p> “Vi har alle sett utsatte kundedata og tjenestenektangrep gjøre betydelig materiell skade på hackede mål. Utnyttelse av dette sikkerhetsproblemet kan unngås, men må utbedres raskt,” sa Bar-Dayan.
“Andre brukere av Elastic Stack bør sjekke sine egne implementeringer for denne feilkonfigurasjonen og ikke gjenta den samme feilen.”
Sikkerhet
T-Mobile-hack: Alt du trenger å vite Surfshark VPN -anmeldelse: Det er billig, men er det bra? De beste nettleserne for personvern Cybersikkerhet 101: Beskytt personvernet ditt Den beste antivirusprogramvaren og appene De beste VPN -ene for bedrifter og hjemmebruk De beste sikkerhetsnøklene for 2FA Truselen mot ransomware vokser: Hva må skje for å stoppe angrepene som blir verre? (ZDNet YouTube)
Relaterte emner:
Datahåndteringssikkerhet TV CXO datasentre 