Genel listeler, yanlış yapılandırılmış üçüncü taraf hizmetleri nedeniyle hassas verileri aranabilir hale getirdi
Araştırmacılar, urlscan.io’da hassas kayıtların sızdırılmasına yol açan kurumsal yazılım yanlış yapılandırmaları konusunda uyardılar.
Urlscan.io bir web sitesi tarama ve analiz motorudur. Sistem, URL gönderimlerini kabul eder ve ekran görüntülerinin yanı sıra alan adları, IP’ler, DOM bilgileri ve çerezler dahil olmak üzere çok sayıda veri oluşturur.
Geliştiriciler, motorun amacının “herkesin bilinmeyen ve potansiyel olarak kötü amaçlı web sitelerini kolayca ve güvenle analiz etmesine” izin vermek olduğunu söylüyor. Urlscan.io birçok kurumsal müşteriyi ve açık kaynak projesini destekler ve bu kontrolleri üçüncü taraf ürünlere entegre etmek için bir API sağlanır.
GitHub uyarısı
Bugün (2 Kasım) yayınlanan bir blog gönderisinde, Positive Security, urlscan API’sinin GitHub tarafından Şubat ayında gönderilen bir e-posta nedeniyle dikkatini çektiğini ve müşterileri GitHub Pages URL’lerinin meta veri analizi sırasında yanlışlıkla üçüncü bir taraf aracılığıyla sızdırıldığı konusunda uyardığını söyledi.
“Bu API’nin entegrasyon türü (örneğin, gelen her e-postayı tarayan ve tüm bağlantılarda bir urls taraması yapan bir güvenlik aracı aracılığıyla) ve veritabanındaki veri miktarı ile, olabilecek çok çeşitli hassas veriler vardır. anonim bir kullanıcı tarafından arandı ve alındı” diyor araştırmacılar.
ÖNERİLEN GitHub, başka bir kullanıcının deposuna erişime izin verebilecek hatayı düzeltir
Daha fazla araştırma üzerine, Positive Security bunun urlscan.io dork’larını, parola sıfırlama bağlantılarını, kurulum sayfalarını, Telegram botlarını, DocuSign imzalama isteklerini, toplantı davetlerini, paket izleme bağlantılarını ve PayPal faturalarını içerebileceğini buldu.
Sızan e-posta adreslerine yapılan geri bildirimler, urlscan.io’ya genel taramalar olarak e-posta yoluyla alınan bağlantıları gönderen yanlış yapılandırılmış güvenlik araçlarının suçlu olduğunu gösteriyordu.
Örneğin, birçok API entegrasyonu, hesap görünürlük ayarlarını yok sayan genel python-requests/2.XY kullanıcı aracılarını kullandı ve böylece taramaların yanlışlıkla herkese açık olarak gönderilmesine izin verdi.
SOAR yanlış yapılandırması
Positive Security, sızdırılmış çok sayıda e-posta adresine ulaştı ve yalnızca bir yanıt aldı – bir çalışana iş sözleşmesine bir DocuSign bağlantısı gönderen ve ardından bir soruşturma başlatan bir kuruluştan.
İşveren, urlscan.io ile entegre olan Güvenlik Düzenleme, Otomasyon ve Müdahale (SOAR) çalışma kitabının yanlış yapılandırılmasının hatalı olduğunu tespit etti.
Positive Security, geçmiş urlscan.io bilgilerini inceledi ve sistemi e-posta adresleri için kazıyarak ve urlscan’da görünüp görünmeyeceklerini görmek için benzersiz bağlantılar göndererek kötüye kullanılabilecek yanlış yapılandırılmış istemcileri ortaya çıkardı.
Bu tür yanlış yapılandırılmış istemcilerin kullanıcıları için, birçok web hizmeti için parola sıfırlamaları tetiklenebilir ve sızdırılan bağlantı, yeni bir parola belirlemek ve hesapları devralmak için kullanılır.
Ile konuşmak Günlük SwigPositive Security’nin kurucu ortağı Fabian Bräunlein, bu saldırı vektörünün “bankacılık veya sosyal medya gibi kişisel hizmetler veya popüler SaaS veya özel uygulamalar gibi şirket hizmetleri için tetiklenebileceğini söyledi.
Bräunlein, “Birçok SaaS sağlayıcısı için, belirli bir etki alanına sahip bir e-posta adresine erişim, dahili şirket verilerine (örn. sohbetler veya kod depoları) erişmek için zaten yeterlidir,” diye ekledi. “Böyle bir durumda, bir saldırganın mevcut hesapları ele geçirmesine bile gerek kalmaz, sadece ilginç hizmetlerde yeni hesaplar oluşturabilir.”
Urlscan revizyonu
Sorunun değerlendirmesinin etkisi Temmuz ayında tamamlandıktan sonra, Positive Security bulgularını urlscan.io’ya bildirdi. Sonuç olarak, siber güvenlik firması ve urlscan.io geliştiricileri, ortaya çıkan sorunları çözmek için birlikte çalıştı ve bu, ayın ilerleyen günlerinde yeni bir motor sürümünün yayınlanmasına yol açtı.
İyileştirilmiş yazılım, gelişmiş bir tarama görünürlüğü arabirimi ve ekip çapında görünürlük ayarları içerir.
Urlscan.io daha sonra, kullanıcıların bir URL gönderirken seçtikleri üç görünürlük ayarının oluşturduğu güvenlik yararlarını ve risklerini açıklayan Tarama Görünürlüğü En İyi Uygulamalarını da yayınladı: “Genel”, “Liste Dışı” ve “Özel”.
En son siber güvenlik araştırma haberlerini okuyun
Urlscan.io ayrıca çok sayıda genel tarama gönderen ve üçüncü taraf SOAR aracı entegrasyonlarını incelemeye başlayan müşterilerle de iletişime geçti. Son olarak, geliştiriciler silme kuralları eklediler, kullanıcı arayüzünde görünürlük ayarlarını vurguladılar ve sorunlu arama sonuçlarını devre dışı bırakmak için bir rapor düğmesi uyguladılar.
Bräunlein, “Bir SOAR platformu işleten güvenlik ekipleri, üçüncü taraf hizmetlerin entegrasyonları yoluyla hiçbir hassas verinin halka sızdırılmadığından emin olmalıdır” dedi.
Urlscan GmbH CEO’su Johannes Gilger şunları söyledi: Günlük Swig: “Positive Security tarafından gerçekleştirilen araştırmayı memnuniyetle karşılıyoruz ve bu kasıtsız bilgi sızıntılarının kapsamını ve kaynağını belirlemek için bizimle çalışırken profesyonel davranışlarını takdir ediyoruz.
“Platformumuzdaki ilgili ayarların görünürlüğünü iyileştirdik, özel bir blog gönderisi aracılığıyla kullanıcılarımızı konu hakkında eğittik ve güvenli varsayılan davranışlara bağlılığı sağlamak için üçüncü taraf otomasyon sağlayıcılarıyla çalışmaya devam ediyoruz.
“urlscan gibi bir platform, işleyişinin doğası gereği her zaman istenmeyen bilgi ifşası riskini taşıyacaktır, bu nedenle bu şeylerin olma olasılığını en aza indirmek için her türlü önlemi alıyoruz.”
OKUMAYI UNUTMAYIN OpenSSL güvenlik açığı ‘yüksek’ önem düzeyine düşürüldü