Güvenlik araştırmacıları, geliştirme için yapay zekanın kullanımı, belirli bir tür web uygulaması kusuru, güvensiz doğrudan nesne referansları (Idors) yapmakla tehdit ediyor.
Boşluklar, web uygulamalarında aslında kırılmış erişim kontrolleri olan bir tür güvenlik açığı türüdür.
Idors’dan yararlanmak kolaydır, özel beceri, ayrıcalıklı erişim veya belirli araçlar gerektirmez.
Yakın tarihli bir Idor vakası, McDonald’s Ai McHire uygulamasını, yalnızca idari bir subsite için varsayılan bir şifre ile yanlış yapılandırılmış değil, aynı zamanda dahili uygulama programlama arayüzüne (API) ayarlanmış doğru erişim kontrollerine sahip değildi.
Idor aracılığıyla, güvenlik araştırmacıları Ian Carroll ve Sam Curry, iş başvuru sahiplerinin sohbet etkileşimleri de dahil olmak üzere hassas kişisel bilgilere erişebildiler.
Carroll ve Curry bunu sadece bir parametre için bir sayıyı azaltarak yapabildiler ve potansiyel olarak 64 milyondan fazla iş başvurusunda bulunmalarına erişmelerini sağladı.
Idorlar son derece yaygındır, Trans-Tasman Bastion Security’nin teknik direktörü Sam Shute, Açık Web Uygulama Güvenliği (OWASP) Top On Listesinde en yaygın A01 Kususu olarak sıralandıklarını söylüyor.
Eve daha yakın olan Shute, 2022’de ortaya çıkan yüksek profilli Optus veri ihlalinin bir idor olduğunu söyledi; Kusur, 2018 yılında, ya yetersiz veya kimlik doğrulaması olmayan güvensiz bir API uç noktasını içeren ve saldırganın Optus müşterilerinin verilerine erişmesini sağlayan tanıtıldı.
Atlassian’ın Confluence Server olayı, saldırganların konfigürasyonları değiştirmek ve vuloNeyile sistemlerinde yeni yönetici hesapları oluşturmak için kırık erişim kontrollerinden yararlanabildikleri yeni bir Idor vakasıdır.
Idor sorunları genellikle şiddet ölçeğinin yüksek tarafındadır, çünkü etki genellikle McDonald’s McHire ve Optus güvenlik açıklarında olan büyük miktarlarda hassas bilginin açıklanmasıdır.
Shute, erişim denetimleri unutulduğunda, kolayca kullanılamaz veya giriş yapmış tüm kullanıcılar tarafından kolayca kullanılamaz olduklarını açıkladı.
Shute, “Itors kesinlikle penetrasyon testi sırasında gördüğümüz yaygın bir konudur.” Dedi.
AI destekli gelişme norm haline geldikçe daha yaygın hale gelebilirler.
Verimlilik baskısı ve yapay zeka altındaki geliştiriciler tehdide katkıda bulunuyor
Geleneksel olarak, kodlayıcılar uygulamaları serbest bırakmaya ve kullanılan araçlara çok fazla güvenmek için acele eden kırık erişim kontrolü güvenlik açıklarının ortaya çıkmasının ana nedenleridir.
Shute, “Geliştiriciler genellikle zaman baskısı altında veya oluşturdukları uygulamaları destekleyen yazılım çerçevelerine çok fazla güveniyorlar.” Dedi.
“Bu, inşa ettikleri erişim kontrol modelinin sonuçlarını doğru bir şekilde anlamamalarına neden olabilir.”
Kusur ihmalden biri olduğundan, düz bir hata yerine uygun erişim kontrollerini kontrol etmek için eksik olduğu gibi, kod incelemelerinde tespit etmek daha zor olabilir.
Shute, AI’nın boşluk ve kırık erişim kontrolü sorunlarını daha da kötüleştirme potansiyeline sahip olduğunu söyledi.
Shute, “Yazılım geliştirmede AI kullanımı, idor sorunlarını daha yaygın hale getirme olasılığı yüksektir.” Dedi.
“Yapay zeka, bir sistemin çalıştığı iş bağlamını gerçekten anlamadığından, yalnızca gönderen kullanıcı, yalnızca dahili kullanıcılar veya tüm kullanıcılar tarafından belirli bir bilgi parçasının bilinmesi gerekip gerekmediğini bilmiyor.”
Bazen “vibe kodlama” olarak adlandırılan AI destekli gelişme, kapsamlı bilgi ve deneyim ihtiyacını ortadan kaldırırken, uygulama oluşturmayı önemli ölçüde hızlandırabildiği için lanse edilir.
Bununla birlikte, teknoloji insan hataları ve sistem baskıları için bir kuvvet çarpanı haline gelebilir, geliştiriciler AI önerilerini eleştirel bir şekilde kabul ederse daha fazla vulnoelabilitler oluşturma riskiyle karşı karşıya kalabilir.
Bunu tanıyan güvenlik satıcısı backsash, ücretsiz korunmuş bir bilgi tabanı, AI gelişiminin farklı bileşenlerini ve getirebileceği riskleri kapsayan vibe kodlama güvenlik tehdit modeli geliştirdi.