Η CISA προειδοποιεί για κινδύνους παραβίασης από ευπάθειες εφαρμογών ιστού IDOR

Η CISA προειδοποίησε σήμερα για τους σημαντικούς κινδύνους παραβίασης που συνδέονται με ευπάθειες ανασφαλούς άμεσης αναφοράς αντικειμένων (IDOR) που επηρεάζουν τις εφαρμογές Ιστού σε κοινή συμβουλευτική με το Αυστραλιανό Κέντρο Ασφάλειας στον Κυβερνοχώρο (ACSC) και την Εθνική Υπηρεσία Ασφαλείας των ΗΠΑ (NSA).

Τα τρωτά σημεία IDOR είναι ελαττώματα σε εφαρμογές ιστού (ή εφαρμογές που χρησιμοποιούν επηρεαζόμενα API Ιστού) που επιτρέπουν στους εισβολείς να έχουν πρόσβαση και να χειρίζονται ευαίσθητα δεδομένα αναφέροντας απευθείας εσωτερικά αντικείμενα ή πόρους.

Με απλούστερους όρους, η ευάλωτη εφαρμογή Ιστού δεν επικυρώνει σωστά την πρόσβαση των χρηστών σε συγκεκριμένους πόρους, όπως αρχεία, βάσεις δεδομένων ή λογαριασμούς χρηστών.

Τα τρωτά σημεία IDOR θεωρούνται σημαντικοί κίνδυνοι ασφάλειας, καθώς μπορεί να οδηγήσουν σε μη εξουσιοδοτημένη πρόσβαση και παραβιάσεις δεδομένων λόγω ακατάλληλων ελέγχων επικύρωσης εισόδου και εξουσιοδότησης που επιτρέπουν στους φορείς απειλής να έχουν πρόσβαση σε πόρους που δεν είναι εξουσιοδοτημένοι να χρησιμοποιούν.

Σύμφωνα με την

NSA

τα τρωτά σημεία IDOR μπορούν δυνητικά να επηρεάσουν οποιαδήποτε εφαρμογή Ιστού, συμπεριλαμβανομένων:

• Λογισμικό εσωτερικής εγκατάστασης που αναπτύσσεται και εγκαθίσταται τοπικά σε έναν οργανισμό.
• Λογισμικό ως υπηρεσία (
  
  SaaS
  
  ) που χρησιμοποιείται για εφαρμογές που βασίζονται σε
  
  cloud
  
  .
• Υποδομή ως υπηρεσία (IaaS) που χρησιμοποιείται για υπολογιστικούς πόρους που βασίζονται σε σύννεφο.
• Ιδιωτικά μοντέλα cloud αποκλειστικά για την υποδομή του οργανισμού.

Η ACSC, η CISA και η NSA

προειδοποίησε

προμηθευτές, σχεδιαστές, προγραμματιστές και οργανισμούς που χρησιμοποιούν εφαρμογές Ιστού για να προστατεύσουν τα συστήματά τους από ευπάθειες IDOR.

«Αυτές οι ευπάθειες χρησιμοποιούνται συχνά από κακόβουλους παράγοντες σε περιστατικά παραβίασης δεδομένων και έχουν οδηγήσει σε παραβίαση προσωπικών, οικονομικών και υγειονομικών πληροφοριών εκατομμυρίων χρηστών και καταναλωτών», ανέφεραν οι τρεις υπηρεσίες.

​Η σημερινή συμβουλή παρέχει μια σειρά από βέλτιστες πρακτικές, συστάσεις και μετριασμούς για προμηθευτές, προγραμματιστές και οργανισμούς τελικών χρηστών που στοχεύουν στη μείωση της εμφάνισης τρωτών σημείων IDOR.

Η καθοδήγηση βοηθά επίσης στη βελτίωση της θέσης ασφαλείας των εφαρμογών web, διασφαλίζοντας ότι έχουν σχεδιαστεί για να είναι ασφαλείς από προεπιλογή.

Συνιστάται στους προγραμματιστές εφαρμογών ιστού να εφαρμόζουν ασφαλείς αρχές σχεδιασμού και προεπιλογής, να ακολουθούν ασφαλείς πρακτικές κωδικοποίησης (π.χ. χάρτες έμμεσων αναφοράς, κανονικοποίηση και επαλήθευση παραμέτρων εισόδου και CAPTCHA), να διεξάγουν αναθεωρήσεις και δοκιμές κώδικα χρησιμοποιώντας αυτοματοποιημένα εργαλεία ανάλυσης και δοκιμής κώδικα και να εκπαιδεύουν προσωπικό για ασφαλή ανάπτυξη λογισμικού.

Οι οργανισμοί τελικών χρηστών θα πρέπει να επιλέγουν εφαρμογές ιστού που δείχνουν δέσμευση στις αρχές ασφαλούς σχεδίασης και προεπιλογής, να εφαρμόζουν ενημερώσεις κώδικα λογισμικού για εφαρμογές ιστού το συντομότερο δυνατό, να διαμορφώνουν τις εφαρμογές ώστε να καταγράφουν και να ειδοποιούν για προσπάθειες παραβίασης και να διεξάγουν τακτικές δοκιμές διείσδυσης και ευπάθειας σάρωση για να διασφαλιστεί ότι οι εφαρμογές ιστού τους είναι ασφαλείς.

Οι τρεις υπηρεσίες τόνισαν αρκετά περιστατικά όπου η εκμετάλλευση των ελαττωμάτων ασφαλείας του IDOR οδήγησε σε μαζικές παραβιάσεις δεδομένων.

Τον Οκτώβριο του 2021, α

σημαντική διαρροή δεδομένων που αφορά εφαρμογές “stalkerware”.

που μετέφεραν δεδομένα συλλογής σε διακομιστές που επηρεάζονταν από μια ευπάθεια IDOR (CVE-2022-0732) εκτεθειμένα μηνύματα κειμένου, αρχεία κλήσεων, φωτογραφίες και πληροφορίες γεωγραφικής τοποθεσίας από εκατοντάδες χιλιάδες κινητές συσκευές.

Άλλη μια παραβίαση δεδομένων από το 2019

επηρέασε οργανισμό του Τομέα Χρηματοοικονομικών Υπηρεσιών των ΗΠΑ

εκθέτοντας πάνω από 800 εκατομμύρια προσωπικά οικονομικά αρχεία, συμπεριλαμβανομένων ευαίσθητων στοιχείων, όπως τραπεζικών κινήσεων, αριθμών τραπεζικών λογαριασμών και εγγράφων πληρωμής στεγαστικών δανείων.

Ένα ξεχωριστό περιστατικό συνέβη το 2012, όπου οι επιτιθέμενοι

έκλεψε τα προσωπικά δεδομένα περισσότερων από 100.000 κατόχων κινητών συσκευών

από έναν δημόσια προσβάσιμο ιστότοπο ενός οργανισμού του Τομέα Επικοινωνιών των ΗΠΑ μετά από εκμετάλλευση μιας ευπάθειας IDOR.