本文來(lái)自嘶吼網(wǎng)(www.4hou.com),作者/陽(yáng)光。
研究人員發(fā)現(xiàn),一個(gè)大型的金融技術(shù)(Fintech)平臺(tái)的API中的一個(gè)服務(wù)器端請(qǐng)求偽造(SSRF)漏洞有可能會(huì)危及數(shù)百萬(wàn)銀行賬戶(hù)的安全,攻擊者能夠通過(guò)控制客戶(hù)的銀行賬戶(hù)和資金進(jìn)行犯罪。
研究人員在周四發(fā)表的一份報(bào)告中披露,Salt Security的Salt Labs團(tuán)隊(duì)在一個(gè)支持該組織平臺(tái)資金轉(zhuǎn)移功能的網(wǎng)頁(yè)中的API中發(fā)現(xiàn)了這個(gè)漏洞,該功能允許客戶(hù)將其平臺(tái)上的賬戶(hù)中的錢(qián)轉(zhuǎn)移到他們的銀行賬戶(hù)內(nèi)。
該公司被稱(chēng)為"Acme Fintech",為各種規(guī)模的銀行提供"數(shù)字轉(zhuǎn)型"服務(wù),并允許這些機(jī)構(gòu)將傳統(tǒng)的銀行服務(wù)轉(zhuǎn)換為在線服務(wù)。研究人員說(shuō),目前該平臺(tái)已被整合到許多銀行的系統(tǒng)中,因此它擁有數(shù)百萬(wàn)的每日活躍用戶(hù)。
如果該漏洞被攻擊者所利用,那么攻擊者可能通過(guò)該平臺(tái)來(lái)獲得對(duì)銀行系統(tǒng)的管理權(quán)限從而進(jìn)行各種違法的活動(dòng)。研究人員說(shuō),他們可以從那里泄露用戶(hù)的個(gè)人數(shù)據(jù),訪問(wèn)銀行的詳細(xì)資料和金融交易,并在未授權(quán)的情況下向自己的銀行賬戶(hù)轉(zhuǎn)賬。
他們說(shuō),在發(fā)現(xiàn)該漏洞后,研究人員調(diào)查復(fù)現(xiàn)了他們的發(fā)現(xiàn)并向該組織提供了很好的緩解措施。
威脅攻擊者的高額回報(bào)
API中的漏洞經(jīng)常會(huì)被忽視,但Salt實(shí)驗(yàn)室的研究人員在報(bào)告中說(shuō),他們每天都會(huì)看到像這樣的漏洞以及其他與API有關(guān)的漏洞。
事實(shí)上,根據(jù)該公司2022年第一季度的API安全狀況報(bào)告,5%的組織在過(guò)去的12個(gè)月中經(jīng)歷了眾多API安全事件。他們說(shuō),這一時(shí)期可以看出惡意的API流量在大幅增長(zhǎng)。
Salt Security的研究人員在一份新聞聲明中說(shuō),關(guān)鍵的SSRF漏洞在許多金融科技供應(yīng)商和銀行機(jī)構(gòu)內(nèi)普遍存在。API攻擊正在變得越來(lái)越頻繁和復(fù)雜。
研究人員說(shuō),金融科技公司特別容易受到攻擊,因?yàn)樗麄兊目蛻?hù)和合作伙伴需要依靠龐大的API網(wǎng)絡(luò)來(lái)實(shí)現(xiàn)各種網(wǎng)站、移動(dòng)應(yīng)用程序和定制集成系統(tǒng)之間的互動(dòng)。
研究人員寫(xiě)道,這反過(guò)來(lái)又使他們成為了"API漏洞的攻擊者的主要攻擊目標(biāo)",原因有二。
第一,他們的API整體功能非常豐富和復(fù)雜,這就意味著在開(kāi)發(fā)中可能會(huì)出現(xiàn)錯(cuò)誤或者忽略一些細(xì)節(jié)。第二,如果一個(gè)攻擊者能夠成功地濫用這種類(lèi)型的平臺(tái),那么它潛在的利潤(rùn)是巨大的,因?yàn)樗赡軙?huì)控制數(shù)百萬(wàn)用戶(hù)的銀行賬戶(hù)和資金。
漏洞詳情
研究人員在掃描和記錄該組織網(wǎng)站上發(fā)送和接收的所有流量時(shí)發(fā)現(xiàn)了這個(gè)漏洞。在一個(gè)連接客戶(hù)在各家銀行之間進(jìn)行轉(zhuǎn)賬的頁(yè)面上,研究人員發(fā)現(xiàn)瀏覽器所調(diào)用的處理請(qǐng)求的API有問(wèn)題。
這個(gè)API使用的是位于'/workflows/tasks//values'的端點(diǎn),調(diào)用它的HTTP方法是PUT方法,而具體的請(qǐng)求數(shù)據(jù)是在HTTP正文部分發(fā)送的。
請(qǐng)求體還攜帶了一個(gè)JWT令牌,這是一個(gè)加密簽名的密鑰,可以讓服務(wù)器知道誰(shuí)是請(qǐng)求用戶(hù)以及他有哪些權(quán)限。
研究人員解釋說(shuō),該漏洞存在于發(fā)送資金轉(zhuǎn)移所需數(shù)據(jù)的請(qǐng)求參數(shù)中,特別是一個(gè)名為"InstitutionURL"的參數(shù),這是一個(gè)需要用戶(hù)提供的值。
在這種情況下,銀行的網(wǎng)絡(luò)服務(wù)器通過(guò)訪問(wèn)URL本身來(lái)處理用戶(hù)提供的URL,如果它被插入到代碼中,那么它會(huì)允許SSRF中的網(wǎng)絡(luò)服務(wù)器調(diào)用任意一個(gè)URL。
SSRF漏洞的研究
研究人員通過(guò)偽造一個(gè)包含他們自己域名的惡意請(qǐng)求來(lái)復(fù)現(xiàn)這個(gè)漏洞。他們寫(xiě)道,向他們服務(wù)器發(fā)送的連接請(qǐng)求是成功的,這證明了服務(wù)器會(huì)盲目地信任通過(guò)這個(gè)參數(shù)所提供給它的域名,并同時(shí)向該URL發(fā)出請(qǐng)求。
此外,進(jìn)入他們服務(wù)器還需要包含一個(gè)用于認(rèn)證的JWT令牌,但是這個(gè)令牌與原始請(qǐng)求中的令牌不同。
研究人員將新的JWT令牌嵌入到了他們之前遇到的一個(gè)名為"/accounts/account"的端點(diǎn)請(qǐng)求中,該請(qǐng)求允許他們從一個(gè)銀行賬戶(hù)中檢索信息。他們說(shuō),這一次他們返回了更多的用戶(hù)信息。
研究人員透露,API端點(diǎn)識(shí)別了我們新的JWT管理令牌,并返回了整個(gè)平臺(tái)的每個(gè)用戶(hù)及其詳細(xì)信息的列表。
他們說(shuō),用新的令牌再次嘗試請(qǐng)求一個(gè)名為"/transactions/transactions"的端點(diǎn),結(jié)果也允許他們?cè)L問(wèn)銀行系統(tǒng)中的每個(gè)用戶(hù)的交易列表。
研究人員說(shuō),這是一個(gè)非常致命的漏洞,它完全侵害了每個(gè)銀行用戶(hù)的權(quán)益。如果攻擊者發(fā)現(xiàn)了這個(gè)漏洞,他們可能會(huì)對(duì)該組織和其用戶(hù)造成嚴(yán)重的損害。
Balmas說(shuō),Salt實(shí)驗(yàn)室希望,API漏洞的出現(xiàn)將會(huì)繼續(xù)激勵(lì)安全從業(yè)者更加仔細(xì)的研究他們的系統(tǒng)如何避免受到這種方式的攻擊。
本文翻譯自:https://threatpost.com/ssrf-flaw-fintech-bank-accounts/179247/