Een nieuw rapport heeft aanzienlijke kwetsbaarheden geïdentificeerd die het gevolg zijn van de verkeerde implementatie van Elastic Stack, een groep open-sourceproducten die API's gebruiken voor essentiële gegevensaggregatie, zoek- en analysemogelijkheden.
Onderzoekers van cyberbeveiligingsbedrijf Salt Beveiliging ontdekte problemen waardoor ze niet alleen aanvallen konden lanceren waarbij elke gebruiker gevoelige klant- en systeemgegevens kon extraheren, maar ook elke gebruiker in staat stelden een denial-of-service-conditie te creëren waardoor het systeem niet meer beschikbaar zou zijn.
De onderzoekers zeiden dat ze de kwetsbaarheid voor het eerst ontdekten terwijl ze een van hun klanten beschermden, een groot online business-to-consumer platform dat op API gebaseerde mobiele applicaties en software als een service levert aan miljoenen gebruikers wereldwijd.
Eens ze ontdekten de kwetsbaarheid, ze controleerden andere klanten die Elastic Stack gebruikten en ontdekten dat bijna elke onderneming ermee werd getroffen door de kwetsbaarheid – waardoor gebruikers werden blootgesteld aan injectieaanvallen en meer.
Salt Security-functionarissen merkten snel op dat dit geen kwetsbaarheid is met Elastic Stack zelf, maar een probleem met hoe het wordt geïmplementeerd. Technisch evangelist Michael Isbitski van Salt Security zei dat de kwetsbaarheid niets te maken heeft met een probleem met Elastic's software, maar te maken heeft met “een veelvoorkomende riskante implementatie door gebruikers”. Stapel instanties veilig op, maar merkte op dat de verantwoordelijkheid bij beoefenaars ligt om gebruik te maken van de begeleiding.
“Het gebrek aan bewustzijn over mogelijke verkeerde configuraties, verkeerde implementaties en clusterblootstellingen is grotendeels een gemeenschapsprobleem dat alleen kan worden opgelost door middel van onderzoek en onderwijs”, vertelde Isbitski aan ZDNet.
“Elastic Stack is verre van het enige voorbeeld van dit type implementatieprobleem, maar het bedrijf kan zijn gebruikers helpen op te leiden, net zoals Salt Security heeft samengewerkt met CISO's, beveiligingsarchitecten en andere beoefenaars van applicatiebeveiliging om waarschuw hen voor deze en andere API-kwetsbaarheden en bied best practices voor mitigatie.”
Josh Bressers, hoofd productbeveiliging bij Elastic, vertelde ZDNet dat goede gegevensbeveiliging moeilijk is, vooral omdat de ontwikkelingssnelheid voortdurend toeneemt.
“Iedereen die open-code databaseplatforms zoals Elasticsearch gebruikt, configureert soms onbedoeld de database verkeerd, waardoor de gegevens toegankelijk zijn via internet”, zei Bressers, en drong er bij gebruikers op aan om advies van het bedrijf in te winnen over hoe ze dingen veilig.
“Elastic doet zijn uiterste best om het voor ontwikkelaars gemakkelijk te maken om veilig te zijn bij het gebruik van onze producten. We hebben X-Pack in 2018 geopend om alle gebruikers gratis beveiligingsfuncties te bieden. We blijven beveiligingsfuncties aan de stapel toevoegen, zoals beveiligingswaarschuwingen wanneer gebruikers de gratis, ingebouwde beveiligingsmogelijkheden niet gebruiken.”
De kwetsbaarheid die door Salt Security-onderzoekers is gevonden, zou een bedreigingsactor in staat stellen misbruik te maken van het gebrek aan autorisatie tussen front-end en back-end services als een manier om een werkend gebruikersaccount te krijgen met basismachtigingsniveaus.
Van daaruit zou een cyberaanvaller gevoelige gebruikers- en systeemgegevens kunnen exfiltreren door “opgeleide gissingen te maken over het schema van back-end datastores en te zoeken naar gegevens waartoe ze geen toegang hebben”, aldus het rapport.
Salt Security CEO Roey Eliyahu zei dat hoewel Elastic Stack veel wordt gebruikt en veilig is, in bijna elke omgeving die het gebruikt dezelfde fouten in het ontwerp zijn gemaakt.
“De Elastic Stack API-kwetsbaarheid kan leiden tot de blootstelling van gevoelige gegevens die kunnen worden gebruikt om ernstige fraude en misbruik in stand te houden, wat een aanzienlijk bedrijfsrisico met zich meebrengt”, zei Eliyahu.
Exploits die misbruik maken van deze Elastic Stack-kwetsbaarheid kunnen volgens Salt Security-onderzoekers “een cascade van API-bedreigingen” creëren, die ook aantoonden dat de implementatiefouten van Elastic Stack aanzienlijk verergeren wanneer een aanvaller meerdere exploits.
Het probleem is iets dat beveiligingsonderzoekers al lang hebben benadrukt met een aantal vergelijkbare producten zoals MongoDB en HDFS.
“De specifieke query's die worden ingediend bij de Elastic-back-endservices die worden gebruikt om dit beveiligingslek te misbruiken, zijn moeilijk te testen. Deze casus laat zien waarom architectuur van belang is voor elke API-beveiligingsoplossing die u installeert – u moet de mogelijkheid hebben om substantiële context over API vast te leggen gebruik in de loop van de tijd,” zei Isbitski.
“Het laat ook zien hoe belangrijk het is om applicatieomgevingen correct te ontwerpen. Elke organisatie zou de API-integraties tussen haar systemen en applicaties moeten evalueren, aangezien deze rechtstreeks van invloed zijn op de beveiligingshouding van het bedrijf.”
Onderzoekers van het bedrijf zeiden dat ze konden toegang krijgen tot gevoelige gegevens zoals rekeningnummers, transactiebevestigingsnummers en andere informatie die in strijd zou zijn met de AVG-regelgeving.
Het rapport beschrijft andere acties die door het beveiligingslek kunnen worden ondernomen, waaronder de mogelijkheid om een verscheidenheid aan frauduleuze activiteiten uit te voeren, geld af te persen, identiteiten te stelen en accounts over te nemen.
Jon Gaines, senior applicatiebeveiligingsadviseur bij nVisium, zei dat de Elastic Stack “berucht is vanwege de buitensporige blootstelling aan gegevens” en voegde eraan toe dat een paar jaar geleden – en standaard – gegevens openbaar werden gemaakt. Sindsdien zijn de standaardinstellingen gewijzigd, maar hij merkte op dat dit niet betekent dat oudere versies niet zijn opgenomen in de oude versie of dat kleine configuratiewijzigingen niet kunnen leiden tot beide nieuw ontdekte kwetsbaarheden.
“Er zijn – en zijn geweest – meerdere open source-tools die hebben geleid tot de ontdekking van deze kwetsbaarheden die ik eerder heb gebruikt en nog steeds gebruik. Helaas is de technische barrière van deze kwetsbaarheden extreem laag. Het risico dat een slechterik deze kwetsbaarheden ontdekt en exploiteert, is groot”, aldus Gaines.
“Van buitenaf gezien, zijn deze kwetsbaarheden gezond verstand voor beveiligingsprofessionals, autorisatie, snelheidsbeperkingen, ongeldigverklaring, geparametriseerde query's, enzovoort. Als gegevensbewaarder, beheerder of zelfs ontwikkelaar wordt u echter vaak niet geleerd om ontwikkelen of onderhouden met veiligheid in het achterhoofd.”
Vulcan Cyber CEO Yaniv Bar-Dayan voegde toe dat de meest voorkomende kwetsbaarheid in de cloud wordt veroorzaakt door menselijke fouten en verkeerde configuraties, en API's zijn niet immuun.
< p>“We hebben allemaal gezien dat blootgestelde klantgegevens en denial-of-service-aanvallen aanzienlijke materiële schade aanrichten aan gehackte doelen. Exploitatie van deze kwetsbaarheid is te vermijden, maar moet snel worden verholpen”, zei Bar-Dayan.
“Andere gebruikers van Elastic Stack moeten hun eigen implementaties controleren op deze verkeerde configuratie en niet dezelfde fout herhalen.”
Beveiliging
T-Mobile hack: alles wat je moet weten Surfshark VPN review: het is goedkoop, maar is het ook goed? De beste browsers voor privacy Cyberbeveiliging 101: bescherm uw privacy De beste antivirussoftware en apps De beste VPN's voor zakelijk en thuisgebruik De beste beveiligingssleutels voor 2FA De ransomware-dreiging groeit: wat moet er gebeuren om te voorkomen dat aanvallen erger worden? (ZDNet YouTube)
Verwante onderwerpen:
Gegevensbeheer Beveiliging TV CXO-datacenters 