Время исправить ошибки: забытые проверки прав доступа становятся причиной утечки данных миллионов пользователей

Веб-приложения подвержены угрозе кибератак из-за уязвимостей в системе контроля доступа, предупреждают агентства безопасности Австралии и США. В совместном заявлении они указывают на опасность так называемых уязвимостей IDOR (Insecure Direct Object Reference), которые позволяют злоумышленникам получать несанкционированный доступ к чужим данным, изменять или удалять их.

Уязвимости IDOR возникают, когда веб-приложение использует входные данные пользователя или идентификатор для прямого доступа к внутреннему ресурсу, например, записи в базе данных, без дополнительных проверок. Типичный пример уязвимости IDOR - это возможность пользователя легко изменить URL (например, https://example[.]site/details.php?id=12345 ) для получения запрещенных данных другой транзакции (то есть https://example[.]site/details.php?id=67890) .

“Уязвимости IDOR - это уязвимости контроля доступа, позволяющие злоумышленникам изменять или удалять данные или получать доступ к конфиденциальным данным, отправляя запросы на веб-сайт или веб-приложение программного интерфейса (API), указывая идентификатор пользователя других, действительных пользователей”, - говорится в заявлении. “Эти запросы успешны там, где отсутствует достаточная проверка подлинности и авторизации”.

Авторы заявления - Австралийский центр кибербезопасности (ACSC) Австралийское управления связи, Агентство США по кибербезопасности и безопасности инфраструктуры ( CISA ) и Агентство национальной безопасности США (АНБ) — отметили, что злоумышленники злоупотребляют такими недостатками для компрометации личных данных, финансовой и медицинской информации миллионов пользователей и потребителей.

Для предотвращения угроз рекомендуется, чтобы поставщики, дизайнеры и разработчики принимали принципы "врожденной защищенности" (Security-by-Design and -Default), чтобы программное обеспечение выполняло проверки подлинности и авторизации для каждого запроса, который изменяет, удаляет и получает доступ к чувствительным данным.

Это заявление было сделано вскоре после того, как CISA опубликовало свой анализ данных, собранных из оценок рисков и уязвимостей (RVAs), проведенных в нескольких федеральных гражданских исполнительных органах (FCEB), а также в приоритетных частных и общественных операторах критической инфраструктуры.

Исследование показало, что “Действительные аккаунты были самой распространенной успешной техникой атаки, ответственной за 54% успешных попыток”, за которыми следовали ссылки целевого фишинга (33.8%), вложения целевого фишинг(3.3%) и внешние удаленные сервисы (2.9%) .

Действительные аккаунты, которые могут быть как бывшими аккаунтами сотрудников, которые не были удалены из активного каталога, так и аккаунтами администратора по умолчанию, также стали основным вектором для установления постоянства в скомпрометированной сети (56.1%), эскалации привилегий (42.9%) и обхода защиты (17.5%).

“Чтобы защититься от успешной техники действительных аккаунтов, субъекты критической инфраструктуры должны внедрять строгие политики паролей, такие как устойчивая к фишингу [многофакторная аутентификация], и контролировать журналы доступа и журналы связи в сети, чтобы обнаруживать необычный доступ”, - говорит CISA.