Yakın zamanda WIX tarafından satın alınan popüler bir AI ile çalışan vibe kodlama platformu olan Base44’te ciddi bir kimlik doğrulama baypas güvenlik açığı, saldırganların özel işletme uygulamalarına ve hassas kurumsal verilere yetkisiz erişimine izin verebilirdi.
Açıklamadan sonraki 24 saat içinde yamalanan güvenlik açığı, hızla genişleyen AI geliştirme ekosisteminde artan güvenlik endişelerini vurgulamaktadır.
Key Takeaways
1. A critical flaw in Base44 lets anyone access private apps using public app IDs.
2. Poorly secured APIs exposed enterprise data to attack.
3. The issue was quickly fixed, but it highlights the need for better AI platform security.
Kimlik Doğrulama Bypass Güvenlik Açığı
Wiz Research tarafından keşfedilen güvenlik açığı, özel uygulamalara tam erişim elde etmek için yalnızca gizli olmayan bir App_id değeri gerektiren sömürü için basitti.
Saldırganlar, özel uygulamalar için doğrulanmış hesaplar oluşturmak için belgesiz API uç noktaları/API/Apps/{app_id}/auth/{app_id}/auth/register ve/api/apps/{app_id}/auth/verify-out’tan yararlanabilir.
686D0A751A78BB2608517740 gibi rastgele dizeler olarak görünen App_id değerleri, manifestler/{app_id} /manifest.json’daki uygulama tezahür yollarında sabit kodlanmış oldukları için kolayca keşfedilebilirdi.
Bu, herhangi bir Base44 uygulamasının tanımlayıcının URI yollarında hemen görülebildiği ve güvenlik açığını platformun tüm kullanıcı tabanında sömürmek için önemsiz hale getirdiği anlamına geliyordu.
Güvenlik kusuru, araştırmacıların App.base44.com ve docs.base44.com adresindeki kamuya açık Swagger-UI arayüzlerini tanımladığı Base44’ün dış saldırı yüzeyinin keşifleriyle ortaya çıkarıldı.
Bu etkileşimli API dokümantasyon araçları, uygun erişim kontrolleri olmadan dahili kimlik doğrulama uç noktalarını yanlışlıkla ortaya çıkardı.
Araştırmacılar, Swagger belgeleri içindeki “Auth” API bölümünü inceleyerek, kayıt uç noktalarının yalnızca SSO erişimi ile yapılandırılmış özel uygulamalar için kimlik doğrulama gereksinimleri olmadığını belirlediler.
Bu mimari gözetim, temel API manipülasyonu yoluyla platformun gizlilik ayarlarının tamamen atlanmasına izin verdi.
Risk altındaki kurumsal uygulamalar
Güvenlik açığının etkisi, tüm müşteri uygulamalarının satıcının güvenlik duruşunu devraldığı vibe kodlama platformlarının paylaşılan altyapı modeli nedeniyle bireysel uygulamaların ötesine uzanmıştır.
Araştırma döneminde, iç chatbots, bilgi tabanları ve kişisel olarak tanımlanabilir bilgiler (PII) içeren İK operasyon sistemleri dahil olmak üzere birden fazla işletme uygulaması doğrulanmıştır.
Şirket, savunmasız dönemde kötü niyetli sömürü kanıtı onaylamadı ve o zamandan beri uygun doğrulamanın artık özel başvurularda yetkisiz kayıt girişimlerini önlediğini doğruladı.
Vibe kodlama platformları, kritik iş işlevleri için kurumsal olarak benimsenmesinden, sağlam güvenlik temelleri paylaşılan bulut ortamlarındaki hassas kurumsal verileri korumak için gerekli hale gelir.
Integrate ANY.RUN TI Lookup with your SIEM or SOAR To Analyses Advanced Threats -> Try 50 Free Trial Searches