Un nuovo rapporto ha identificato vulnerabilità significative derivanti dall'errata implementazione di Elastic Stack, un gruppo di prodotti open source che utilizzano API per l'aggregazione dei dati critici, la ricerca e le capacità di analisi.
Ricercatori della società di sicurezza informatica Salt La sicurezza ha scoperto problemi che consentivano loro non solo di lanciare attacchi in cui qualsiasi utente poteva estrarre dati sensibili del cliente e del sistema, ma consentiva anche a qualsiasi utente di creare una condizione di negazione del servizio che avrebbe reso il sistema non disponibile.
I ricercatori hanno affermato di aver scoperto per la prima volta la vulnerabilità proteggendo uno dei loro clienti, una grande piattaforma online business-to-consumer che fornisce applicazioni mobili e software basati su API come servizio a milioni di utenti globali.
Una volta hanno scoperto la vulnerabilità, hanno controllato altri clienti utilizzando Elastic Stack e hanno scoperto che quasi tutte le aziende con esso erano colpite dalla vulnerabilità, che esponeva gli utenti ad attacchi di iniezione e altro ancora.
I funzionari di Salt Security si sono affrettati a notare che questa non è una vulnerabilità con Elastic Stack stesso, ma piuttosto un problema con il modo in cui viene implementato. L'evangelista tecnico di Salt Security Michael Isbitski ha affermato che la vulnerabilità non è collegata ad alcun problema con il software di Elastic, ma è correlata a “una configurazione di implementazione rischiosa comune da parte degli utenti”.
Ha notato che Elastic fornisce indicazioni su come implementare Elastic Impilare le istanze in modo sicuro, ma ha notato che la responsabilità ricade sui professionisti di utilizzare la guida.
“La mancanza di consapevolezza su potenziali configurazioni errate, implementazioni errate ed esposizioni di cluster è in gran parte un problema della comunità che può essere risolto solo attraverso la ricerca e l'istruzione”, ha detto Isbitski a ZDNet.
“Elastic Stack è lungi dall'essere l'unico esempio di questo tipo di problema di implementazione, ma l'azienda può aiutare a educare i suoi utenti proprio come Salt Security ha lavorato con CISO, architetti della sicurezza e altri professionisti della sicurezza delle applicazioni per avvisali di questa e di altre vulnerabilità API e fornisci le migliori pratiche di mitigazione.”
Josh Bressers, responsabile della sicurezza dei prodotti presso Elastic, ha dichiarato a ZDNet che una corretta sicurezza dei dati è difficile, soprattutto perché la velocità di sviluppo è in costante aumento.
“Chiunque utilizzi piattaforme di database a codice aperto come Elasticsearch a volte configuri inavvertitamente il database consentendo ai dati di essere accessibili su Internet”, ha affermato Bressers, esortando gli utenti a seguire i consigli forniti dall'azienda su come mantenere cose sicure.
“Elastic si impegna a fondo per rendere più facile per gli sviluppatori essere sicuri quando utilizzano i nostri prodotti. Abbiamo aperto X-Pack nel 2018 per fornire funzionalità di sicurezza a tutti gli utenti gratuitamente. Continuiamo ad aggiungere funzionalità di sicurezza allo stack, come gli avvisi di sicurezza quando gli utenti non utilizzano le funzionalità di sicurezza integrate gratuite.”
La vulnerabilità rilevata dai ricercatori di Salt Security consentirebbe a un attore di minacce di abusare della mancanza di autorizzazione tra i servizi front-end e back-end come un modo per ottenere un account utente funzionante con livelli di autorizzazione di base.
Da lì, un cyberattaccante potrebbe quindi esfiltrare i dati sensibili dell'utente e del sistema facendo “ipotesi plausibili sullo schema degli archivi di dati di back-end e interrogando i dati a cui non è autorizzato ad accedere”, secondo il rapporto.
Il CEO di Salt Security Roey Eliyahu ha affermato che, sebbene Elastic Stack sia ampiamente utilizzato e sicuro, gli stessi errori di progettazione architettonica sono stati riscontrati in quasi tutti gli ambienti che lo utilizzano.
“La vulnerabilità dell'API Elastic Stack può portare all'esposizione di dati sensibili che possono essere utilizzati per perpetuare frodi e abusi gravi, creando un rischio aziendale sostanziale”, ha affermato Eliyahu.
Gli exploit che sfruttano questa vulnerabilità di Elastic Stack possono creare “una cascata di minacce API”, secondo i ricercatori di Salt Security, che hanno anche dimostrato che i difetti di implementazione del progetto Elastic Stack peggiorano in modo significativo quando un utente malintenzionato concatena insieme più exploit.
Il problema è stato a lungo evidenziato dai ricercatori di sicurezza con una serie di prodotti simili come MongoDB e HDFS.
“Le query specifiche inviate ai servizi di back-end Elastic utilizzati per sfruttare questa vulnerabilità sono difficili da testare. Questo caso mostra perché l'architettura è importante per qualsiasi soluzione di sicurezza API che metti in atto: hai bisogno della capacità di catturare un contesto sostanziale sull'API utilizzo nel tempo”, ha affermato Isbitski.
“Mostra anche quanto sia fondamentale progettare correttamente gli ambienti applicativi. Ogni organizzazione dovrebbe valutare le integrazioni API tra i propri sistemi e applicazioni, poiché hanno un impatto diretto sulla posizione di sicurezza dell'azienda.”
I ricercatori dell'azienda hanno affermato di aver sono stati in grado di accedere a dati sensibili come numeri di conto, numeri di conferma delle transazioni e altre informazioni che violerebbero le normative GDPR.
Il rapporto descrive in dettaglio altre azioni che potrebbero essere intraprese attraverso la vulnerabilità, inclusa la capacità di perpetrare una serie di attività fraudolente, estorcere fondi, rubare identità e acquisire account.
Jon Gaines, consulente senior per la sicurezza delle applicazioni di nVisium, ha affermato che Elastic Stack è “noto per l'eccessiva esposizione dei dati” e ha aggiunto che alcuni anni fa, e per impostazione predefinita, i dati sono stati esposti pubblicamente. Da allora le impostazioni predefinite sono cambiate, ma ha notato che ciò non significa che le versioni precedenti non siano state salvate o che modifiche minori alla configurazione non possano portare a entrambe queste vulnerabilità scoperte di recente.
“Ci sono – e ci sono stati – più strumenti open source che portano alla scoperta di queste vulnerabilità che ho usato in precedenza e continuo a utilizzare. Sfortunatamente, la barriera tecnica di queste vulnerabilità è estremamente bassa. Di conseguenza, il Il rischio che un malintenzionato scopra e sfrutti queste vulnerabilità è alto”, ha affermato Gaines.
“Dall'esterno, queste vulnerabilità sono di buon senso per i professionisti della sicurezza, autorizzazione, limiti di velocità, invalidazione, query parametriche e così via. Tuttavia, come custode dei dati, amministratore o persino sviluppatore, spesso non ti viene insegnato a sviluppare o mantenere con in mente la sicurezza.”
Il CEO di Vulcan Cyber Yaniv Bar-Dayan ha aggiunto che la vulnerabilità cloud più comune è causata da errori umani e configurazioni errate e le API non sono immuni.
< p>“Abbiamo visto tutti i dati dei clienti esposti e gli attacchi di negazione del servizio arrecare danni materiali significativi agli obiettivi compromessi. Lo sfruttamento di questa vulnerabilità è evitabile, ma deve essere risolto rapidamente”, ha affermato Bar-Dayan.
“Gli altri utenti di Elastic Stack dovrebbero controllare le proprie implementazioni per questa configurazione errata e non ripetere lo stesso errore.”
Sicurezza
T-Mobile hack: tutto ciò che devi sapere Surfshark Recensione VPN: è economica, ma è buona? I migliori browser per la privacy Cyber security 101: proteggi la tua privacy I migliori software e app antivirus Le migliori VPN per uso aziendale e domestico Le migliori chiavi di sicurezza per 2FA La minaccia ransomware è in crescita: cosa deve succedere per impedire che gli attacchi peggiorino? (ZDNet YouTube)
Argomenti correlati:
Data Management Security TV CXO Data Center 