Çığır açan bir siber güvenlik soruşturmasında, araştırmacılar bir hedef sistemde çeşitli kritik güvenlik açıkları belirlediler ve sonunda bir ana kuruluş tarafından yönetilen 3.000 iştirak şirketini kontrol edin.
Keşif API konfigürasyonlarındaki kusurlardan yararlandı, temel güvenlik protokollerini atladı ve hassas çalışan ve müşteri verilerini ortaya çıkardı.
Bu araştırma üç haftayı kapsadı ve modern, API güdümlü altyapılarda yetersiz erişim kontrollerinin kalıcı risklerini gösterdi.
Araştırma ekibi, bir kuruluşun API’lerinde test yaparken bu istismarları keşfetti.
Değerlendirmeleri sırasında, belirli talepleri gönderirken olağandışı yanıtlar belirlediler, bu da yol geçişi yoluyla potansiyel arka uç API erişimini ima etti.
Araştırmacılar geçiş yöntemini kullanmaya çalıştılar, ancak istekleri engelleyen bir web uygulaması güvenlik duvarı (WAF) ile karşılaştılar.
Bununla birlikte, JavaScript (JS) dosyalarının daha fazla analizi yoluyla, WAF’ın kısıtlamalarını atlayan ve daha derin keşifler için kapıyı açan bir üretim alanı yerleştirdiler.
Are you from SOC/DFIR Teams? - Analyse Malware Files & Links with ANY.RUN Sandox -> Try for Free
Arka uç pozlama
Araştırmacılar, şirketin ödeme sisteminden sorumlu mikro hizmetlere bağlı olarak bir uygulamayı ortaya çıkaran kapsamlı bir bulantı gerçekleştirdiler.
Bu uç nokta, dahili arka uç mikro hizmetlerine yönelik ön uç API yollarını eşlemiştir.
Ekip, çalışanların kişisel olarak tanımlanabilir bilgiler (PII), parmak izleri ve müşteri faturalarını cep telefonu numaraları aracılığıyla dahil olmak üzere hassas operasyonel verileri çıkarmak için kullandı.
Bu bulgular, gizli belgelere yetkisiz erişim sağlayarak arka uç istek doğrulamasında bir başarısızlığın altını çizdi.
Soruşturma daha sonra 3.000 iştirak şirketinin tümünü yöneten bir idari süperpanel’e yol açtı.
Başlangıçta, bu panele erişim geçerli kimlik doğrulama kimlik bilgileri gerektiriyordu.
Kullanıcı adı numaralandırması ve özel kelime listesi tabanlı kaba zorlama kullanan araştırmacılar, girişi başarıyla atladı ve idari kontrol kazandı.
Bu, şirketin tüm ekosisteminde ulusal kimlikleri, şifreleri ve diğer hassas verileri değiştirmelerini sağladı.
Telekom numarası devralma için KYC doğrulamasını atlamak
Şirketin telekom operasyonlarına paralel bir saldırıda, araştırmacılar müşterinizi (KYC) kontrollerinizi bilmek için yöntemler buldular.
Başlangıçta, sayı transferleri için arka uç talepleri “417 beklenti başarısız oldu” hatası döndürdü.
Bununla birlikte, doğrudan arka uç API ile etkileşime girerek, bu kontrolleri atladılar ve müşteri telefon numaralarını hileli kimlik bilgileriyle aktardılar, aboneleri devralma ve kimlik hırsızlığına açıkladılar.
Kritik istismarlardan biri, kuruluşun API’lerinin kimlik doğrulama ve yetkilendirmeyi nasıl ele aldığı konusundaki tutarsızlıklara dayanıyordu.
Ön uç API’sı yetkisiz istekleri engellerken, arka uç API’si, hatalı yol geçiş isteklerini farklı şekilde yorumlayarak kimlik doğrulamasını atladı.
Bu, talep normalleştirme ve yol dezenfekte uygulamalarında temel bir zayıflık ortaya koymuştur.
Bu durum, arka uç API güvenliğine bakmanın ciddi sonuçlarını göstermektedir.
Araştırmacılar güvenlik açıklarını bildirdi ve kuruluş belirli sorunları ele alırken, keşfedilen risklerin kapsamı, güvenlik uygulamalarının kapsamlı bir elden geçirilmesini talep etti.
Temel öneriler arasında ön uç ve arka uç sistemlerinde tek tip istek doğrulaması uygulanması, tüm ortamlarda WAF korumalarının uygulanması ve yanlış yakınlaştırmalar için API uç noktalarının periyodik olarak denetlenmesi yer alır.
Bu kapsamlı istismar zinciri, metodik olarak sömürüldüğünde küçük yanlış yapılandırmaların, binlerce kullanıcıyı ve paydaşları etkileyen felaket ihlallerine nasıl kartopu yapabileceğini vurgulamaktadır.
Siber güvenlik uzmanları API korumasını modern güvenlik stratejilerinin temel taşı olarak ele almalıdır.
Jenkins & Jira -> Ücretsiz Web Semineri kullanarak uygulama güvenliğini CI/CD iş akışlarınıza entegre etmek