Lego’nun Bricklink hizmetinin belirli XSS saldırı türlerine karşı potansiyel olarak nasıl savunmasız olduğuna bir göz atacağız.
Eğer inşa edersen, gelecekler. Lego’nun durumunda, onu inşa ettiler ve bazı güvenlik kusurları, birisinin onu tamamen parçalara ayırabileceği anlamına geliyordu.
PCMag, Lego’nun Bricklink hizmetindeki kusurların, potansiyel veri sızıntısına ve hatta hesap hırsızlığına açık olduğu anlamına geldiğini bildirdi. Artık ele alınan bu kusurlar, Bricklink portalının kullanıcılarını potansiyel olarak etkiledi. Siteye aşina değilseniz, bir milyon kadar kayıtlı kullanıcısı ile dünyanın en büyük Lego tuğlaları resmi pazarıdır. Bu bir sürü Lego.
Üzerinde çalıştığınız o harika Lego projesi için ihtiyacınız olan inanılmaz derecede belirsiz veya bulunması zor bir parça olduysa, aradığınızı bulma şansınız yüksektir.
Araştırmacıların kullanıcı giriş alanlarına bakarken bulduğu şey, bazı siteler arası komut dosyası çalıştırma (XSS) sorunları oluşturmanın bir yoluydu. XSS, savunmasız web uygulamalarının kötü amaçlı komut dosyalarının sayfaya enjekte edilmesine izin verecek şekilde istismar edildiği bir tür enjeksiyon saldırısıdır. Bir göz atalım mı?
Sanitasyona giden bir yol inşa etmek
Salt Security’ye göre, web sunucusu kullanıcı girişini doğru bir şekilde sterilize etmiyordu ve bu da oluşturulan web sayfasında kod enjeksiyonuna neden oluyordu. Sonuç olarak JavaScript kodunu enjekte edip çalıştırabildiler.
Buradan, yukarıdaki tekniği, oturum kimliği değerini içeren sayfadaki kodu okuyacak ve kendi sunucularına gönderecek bir yüke zincirlemeyi başardılar. XSS’de etiketlenen korumasız oturum kimliği, hesapla ilgili verilere erişimin yanı sıra hesabın tamamen ele geçirilmesine neden olabilir. Bu, teslimat adresini, siparişleri, mesaj geçmişini ve e-posta adresini içerir. Araştırmacıların işaret ettiği gibi, bu biraz sınırlayıcı çünkü başarılı bir şekilde başarılı olmak için bir miktar kurban etkileşimi gerektiriyor.
“En çok aranan” bir dış varlık saldırısı olduğunda
İkinci sorun, başarmak için hiçbir kurban etkileşimi gerektirmeyecek bir şeydi. BrickLink, kullanıcıların arananlar listesi sayfasını doldurmasına olanak tanır. 1970’lerden kalan o nadide bacak için mi, yoksa 80’lerden bir hazine adası parçası için mi çaresizsiniz? Sorun değil, verileri Extensible Markup Language (bir XML dosyası) olarak yükleyin ve oradan alın.
Devam düğmesine bastığınızda, parçalarınız sihirli bir şekilde okunabilir biçimde görünür, istenen öğenin bir görüntüsüyle tamamlanır ve arananlar listenize girer (“Amazon dilek listesi”ni düşünün, ancak Lego için).
Araştırmacılar, XML verilerinin düzenli olarak işlenmesini engelleyebilecek bir XML harici varlık (XXE) saldırısını kullanabildiler. Testleri, /etc/passwd dosyasının içeriğini almalarına izin verdi ve Sunucu Tarafı İstek Sahteciliği saldırılarına (SSRF) neden olabilirdi. SSRF çok kötü, çünkü saldırganlara bir sunucuyu kandırarak başka türlü kullanılamayacak yerlere erişim izni verme yeteneği verebilir. SSRF sorunları maalesef yaygındır ve hızla harekete geçilmesi gerekir.
Açıklama ve yanıt
Bu güvenlik açıkları 18 Ekim’de keşfedildi ve teknik ayrıntılar 23 Ekim’de açıklandı. Lego güvenlik ekibi ifşayı 25’inde doğrulasa da, iç politikanın belirli sorunların giderilip giderilmediği konusunda yorum yapmak olmadığını söylemeye devam ettiler. Salt Security ekibi adına, 10 Kasım’da kendi testleriyle sorunların ele alınmış gibi göründüğünü doğruladılar.
Tuğlalarınız şimdilik ayakta.
Tehditleri sadece rapor etmiyoruz, onları kaldırıyoruz
Siber güvenlik riskleri asla bir manşetin ötesine geçmemelidir. Malwarebytes’i bugün indirerek tehditleri cihazlarınızdan uzak tutun.