Typosquatting hilesi, birden çok kuruluşun güvenlik duvarlarını başarıyla atladı
Tesla, güvenlik araştırmacılarının otomobil üreticisinin dahili ağından veri sızdırabileceklerini kanıtlamalarının ardından, kaynaklar arası kaynak paylaşımı (CORS) yanlış yapılandırmalarını düzelten birkaç kuruluştan biri.
Bu, araştırmacılarının çeşitli hata ödül programları aracılığıyla sunulan CORS güvenlik açıklarından “birkaç bin dolar” kazandığını söyleyen Truffle Security’ye göre.
Proje için özel olarak oluşturulmuş bir istismar araç setinin yardımıyla, kusurlar, Truffle Security’nin “büyük dahili kurumsal ağların, etkili CORS yanlış yapılandırmalarına sahip olma olasılığının fazlasıyla yüksek olduğu” şeklindeki ilk hipotezi doğruladı.
Endişe için CORS
Truffle Security, ekibinin hata ödül programları tarafından rutin olarak dayatılan kısıtlamalardan kaçınmak için yazım hatasından nasıl yararlandığını bir blog gönderisinde ve beraberindeki videoda (aşağıda gömülü) ayrıntılı olarak açıkladı.
“Yatay hareket ve sosyal mühendisliğe karşı katı kurallar nedeniyle genellikle dahili ağlar hata ödüllerinin kapsamı dışındadır” dedi. “Çizgiye çok yakın yürüdüğümüzün farkındayız ama çizginin aşıldığına inanmıyoruz.”
CORS, belirli bir alanın dışında bulunan kaynaklara kontrollü erişim sunan bir tarayıcı güvenlik mekanizmasıdır. Bunu yaparken, bir kaynaktaki komut dosyalarının diğerinden verilere erişmesini kısıtlayan aynı kaynak politikasının (SOP) katılığını dengeleyerek geliştiricilere yardımcı olur.
Ancak aşırı izin veren yapılandırmalar, etki alanları arası saldırılara açık kapı bırakabilir.
OKUMAYI UNUTMAYIN Otomobil şirketleri büyük ölçüde web güvenlik açıklarına maruz kalıyor
Truffle Security’nin araştırması, giriş oturumu bilgilerini göndermediği için genellikle dışa dönük web siteleri için güvenli olan “joker karakter” yapılandırmalarına odaklanıyor, “ancak kimlik doğrulama kullanmayan dahili web uygulamaları için korkunç derecede yanlış olabilir”.
Bunun nedeni, “insanların tarayıcılarının birden fazla ağ üzerinde yer alması ve böylece bir kurban kötü niyetli bir web sitesini ziyaret ettiğinde, bu kötü web sitesinin dahili ağlardaki tüm dahili uygulamaları vurabilmesidir.”
Of-CORS yapabilirsiniz
Truffle Security, proje için geliştirdiği araçla diğer hata avcılarını benzer güvenlik açıklarını hedeflemeye davet etti.
Bir Python3 uygulaması olan Of-CORS, “yazım hatası kullanarak ve bulunduğunda verileri eve telefon ederek CORS yanlış yapılandırmaları için kurumsal ağları sinsice hedefleyebilir”.
Keşfe gelince, hata avcılarına Github depolarındaki, Android derlemelerindeki ve hatta StackOverflow dizilerindeki eski taahhütleri kontrol ederek hedef şirketler tarafından kullanılan dahili, ikinci düzey etki alanlarını belirlemeleri önerilir.
Truffle Security daha sonra, “ilk veya son karakteri bıraktığınızda meydana gelen tek tek kopyala yapıştır hatasından” yararlanan yazım hatası yapan alan adlarının satın alınmasını önerir.
Örneğin, Tesla’nın durumunda eslamotors.com birkaç gün içinde bir kurban yakaladı. of-CORS tarafından kaydedilen bir hizmet çalışanı daha sonra yaklaşık 150 teslamotors.com alt alan adını inceledi ve 12 tanesinin CORS ile kaynaklar arası erişime izin verecek şekilde yapılandırıldığını buldu.
En son bilgisayar korsanlığı teknikleri hakkında daha fazla haber okuyun
Blog gönderisinde, “Sadece zararsız bir tuzak kurarak ve çalışanların içine girmesini bekleyerek Tesla’nın dahili ağından verilere erişme ve verileri sızdırma yeteneğini gösterdik” dedi. “Keyifli.”
Kamuya açıklamayı onaylayan Tesla, Bugcrowd hata ödül programı aracılığıyla yüksek önemdeki sorunu “hızlı bir şekilde” tırmandırdığı, çözdüğü ve ödediği için övüldü.
günlük yudum Tesla’yı yorum yapması için davet etti, ancak henüz yanıt alamadık. Bunu yaparsak hikaye buna göre güncellenecektir.
ŞUNLAR DA HOŞUNUZA GİDEBİLİR Kritik güvenlik açığı, saldırganların Hyundai, Genesis araçlarının kilidini uzaktan açmasına ve kontrol etmesine izin verdi