Οι υπηρεσίες κυβερνοχώρου των ΗΠΑ και της Αυστραλίας προειδοποιούν ότι τα ελαττώματα ασφαλείας του IDOR μπορούν να αξιοποιηθούν «σε κλίμακα»

On

Ιούλ 28, 2023

Οι κυβερνητικές υπηρεσίες κυβερνοασφάλειας των ΗΠΑ και της Αυστραλίας προειδοποιούν ότι κοινές και εύκολα εκμεταλλεύσιμες ευπάθειες ασφαλείας σε ιστότοπους και εφαρμογές ιστού μπορεί να γίνει κατάχρηση για την πραγματοποίηση παραβιάσεων δεδομένων μεγάλης κλίμακας.

Σε

μια κοινή συμβουλευτική

Δημοσιεύθηκε την Πέμπτη, η αμερικανική υπηρεσία κυβερνοασφάλειας CISA, η Υπηρεσία Εθνικής Ασφάλειας και το Κέντρο Αυστραλιανής Κυβερνοασφάλειας δήλωσαν ότι τα τρωτά σημεία, γνωστά ως μη ασφαλείς αναφορές άμεσων αντικειμένων (IDORs), επιτρέπουν σε κακόβουλους χάκερ να έχουν πρόσβαση ή να τροποποιούν ευαίσθητα δεδομένα στους διακομιστές ενός οργανισμού λόγω έλλειψης των κατάλληλων ελέγχων ασφαλείας.

Μια ευπάθεια IDOR είναι σαν να έχετε ένα κλειδί στο γραμματοκιβώτιό σας, αλλά αυτό το κλειδί σας επιτρέπει επίσης να ξεκλειδώσετε κάθε άλλο γραμματοκιβώτιο στον δρόμο σας. Τα IDOR μπορεί να είναι ιδιαίτερα προβληματικά επειδή, όπως μια σειρά γραμματοκιβωτίων, ένας κακός ηθοποιός μπορεί να τα εκμεταλλευτεί διαδοχικά το ένα μετά το άλλο και να αποκτήσει πρόσβαση σε δεδομένα που δεν πρέπει να του επιτραπεί.

Επειδή αυτά τα τρωτά σημεία μπορούν συχνά να αξιοποιηθούν με απαρίθμηση, τα IDOR μπορούν να χρησιμοποιηθούν «σε κλίμακα» χρησιμοποιώντας αυτοματοποιημένα εργαλεία, προειδοποιεί η συμβουλευτική.

«Αν και υπήρξαν προηγούμενες αναφορές ανοιχτού κώδικα για ευπάθειες ανασφαλούς άμεσης αναφοράς αντικειμένων (IDOR) σε εφαρμογές ιστού, η CISA και οι συνεργάτες μας στο Αυστραλιανό Κέντρο Ασφάλειας στον Κυβερνοχώρο και στην Υπηρεσία Εθνικής Ασφάλειας συνειδητοποίησαν ότι αυτό είναι ένα σημαντικό ελάττωμα με πολύ λίγη αναγνώριση ή κατανόηση εντός του κοινότητα του κυβερνοχώρου. Η σημερινή κοινή συμβουλευτική είναι η πρώτη σημαντική συμβουλή για αυτό το θέμα για να βοηθήσει τους οργανισμούς να προστατεύσουν ευαίσθητα δεδομένα στα συστήματά τους και να ωθήσουν τους προμηθευτές να μειώσουν τον επιπολασμό των τρωτών σημείων και ελαττωμάτων IDOR», δήλωσε στο TechCrunch ο James Stanley, Επικεφαλής του Τμήματος Ανάπτυξης Προϊόντων CISA.

Η κοινή συμβουλευτική σημειώνει ότι τα IDOR έχουν οδηγήσει σε μεγάλες παραβιάσεις δεδομένων στις Ηνωμένες Πολιτείες και στο εξωτερικό.

Τα τελευταία χρόνια, τα IDORs είχαν ως αποτέλεσμα την έκθεση χιλιάδων ιατρικών εγγράφων από έναν γίγαντα των εργαστηρίων των ΗΠΑ, έναν ιστότοπο της κρατικής κυβέρνησης που διέρρευσε χιλιάδες προσωπικά στοιχεία φορολογουμένων, μια εφαρμογή ανίχνευσης επαφών κολεγίου που διέρρευσε την κατάσταση εμβολιασμού για τον

COVID-19

και μια πολιτεία -υποστηριζόμενη εφαρμογή υγείας που επέτρεπε την πρόσβαση στα δεδομένα εμβολιασμού άλλων ανθρώπων. Τα IDOR είχαν επίσης ως αποτέλεσμα τη μαζική διαρροή δεδομένων

εκατοντάδες εκατομμύρια έγγραφα υποθήκης των ΗΠΑ

την έκθεση των δεδομένων τοποθεσίας σε πραγματικό χρόνο περισσότερων από ένα εκατομμύριο οχημάτων από έναν ελαττωματικό ιχνηλάτη GPS και τη διαρροή εκατοντάδων χιλιάδων ιδιωτικών δεδομένων τηλεφώνου ανθρώπων που έχουν κλαπεί από ένα παγκόσμιο δίκτυο stalkerware.

Η κοινή συμβουλευτική αναφέρει ότι οι προγραμματιστές θα πρέπει να διασφαλίζουν ότι οι εφαρμογές ιστού τους εκτελούν ελέγχους ταυτότητας και εξουσιοδότησης για να μειώσουν τα IDOR και ότι το λογισμικό είναι

ασφαλής κατά σχεδιασμό

μια αρχή που προωθείται από την CISA που παροτρύνει τους κατασκευαστές λογισμικού να συνεχίσουν την ασφάλεια από την αρχή και σε όλη τη διαδικασία ανάπτυξης λογισμικού.

«Το Secure-by-

design

είναι ένα θεμελιώδες θέμα σε αυτήν την συμβουλευτική. Οι πωλητές και οι προγραμματιστές ενθαρρύνονται να λάβουν τα κατάλληλα μέτρα για να παρέχουν προϊόντα που προστατεύουν τα ευαίσθητα δεδομένα των πελατών τους από το σχεδιασμό και την προεπιλογή», δήλωσε ο Stanley της CISA.

Η υπηρεσία κυβερνοχώρου της Αυστραλίας δήλωσε ότι συνεχίζει να παρατηρεί κακόβουλους παράγοντες που εκμεταλλεύονται εσφαλμένα διαμορφωμένα δίκτυα.

«Ακόμη και μια μεμονωμένη παραβίαση χρησιμοποιώντας τρωτά σημεία IDOR μπορεί να έχει εθνικό αντίκτυπο. Ένας κακόβουλος παράγοντας που μπορεί να εκμεταλλεύεται δεδομένα θα μπορούσε να επηρεάσει κρίσιμες υποδομές, επιχειρήσεις, κυβέρνηση και ιδιώτες», δήλωσε ο Πάτρικ Χολμς από το Αυστραλιανό Κέντρο Ασφάλειας στον Κυβερνοχώρο.

techcrunch.com