Грешка в OAuth засяга стотици сайтове и приложения на трети страни

Уязвимост в киберсигурността, открита при прилагането на функционалността за влизане в социалната мрежа, дава възможност за превземане на акаунти и др.

Уязвимост в прилагането на стандарта Open Authorization (OAuth), който уебсайтовете и приложенията използват за свързване с Facebook, Google, Apple, Twitter и др., може да позволи на нападателите да превземат потребителски акаунти, да получат достъп до чувствителна информация и/или да я изнесат и дори да извършат финансови измами.

OAuth влиза в действие, когато потребителят влезе в даден уебсайт и кликне върху връзка за влизане с друг акаунт в социална медия, например „Log in with Facebook“ или „Log in with Google“ – функция, която много сайтове използват, за да позволят удостоверяване между платформите. Екип от лабораторията Salt Labs на фирмата Salt Security, специализирана в областта на сигурността на API, е открил дефекта, проследен като CVE-2023-28131, в имплементацията на OAuth в Expo – рамка с отворен код за разработване на местни мобилни приложения за iOS, Android и други уеб платформи с помощта на единна кодова база.

По-конкретно, недостатъкът потенциално може да засегне всички потребители, които използват различни и акаунти в социални медии, за да се логнат в онлайн услуга, която използва рамката, разкриха изследователите в публикация в блога, публикувана на 24 май.

Уязвимостта е втората – и с по-голямо въздействие – която изследователите на Salt откриват в прилагането на OAuth от онлайн платформа, което се оказва труден стандарт за сигурно прилагане. През март Salt откри недостатък в прилагането на OAuth от Booking.com, който можеше да позволи на нападателите да превземат потребителски акаунти и да получат пълна видимост към техните лични данни или данни за платежни карти, както и да влязат в акаунти в сестринската платформа на уебсайта Kayak.com.

Риск за трети страни при внедряването на OAuth

Недостатъкът в Expo може да има много по-широко въздействие, отколкото този в Booking.com, поради широката инсталационна база на Expo, казва пред Dark Reading Авиад Кармел, изследовател по сигурността на Salt.

„Тъй като тази втора уязвимост на OAuth беше открита в рамка на трета страна, използвана от стотици компании, потенциалната експозиция беше много по-голяма“, казва той. „Тя можеше да повлияе на имплементациите на OAuth на стотици уебсайтове и приложения.“

Освен това OAuth се превръща в де факто стандарт за удостоверяване в съвременните архитектури, базирани на услуги, както и в нововъзникващите платформи, базирани на изкуствен интелект (ИИ). Това по своята същност означава, че всякакви уязвимости в реализациите на OAuth имат широк обхват. Всъщност в друго изследване, представено на 24 май, фирмата за сигурност DoControl разкри, че 24% от приложенията за изкуствен интелект на трети страни изискват рискови разрешения за OAuth.

Expo закърпи CVE-2023-28131 в рамките на няколко часа, след като изследователите на Salt сигнализираха за проблема, а разработчиците, поддържащи платформата, препоръчаха в публикация в блога, в която подробно се описва недостатъкът, клиентите да актуализират своите внедрявания на Expo, за да намалят напълно риска.

Въпреки това нарастващият списък с уязвимости на OAuth и цялостната сложност на правилното конфигуриране на стандарта, които те подчертават, предполагат, че под повърхността на повече уебсайтове и приложения може да се крият неоткрити недостатъци.

Констатациите също така показват как предприятията са неблагоприятно и широко засегнати, когато рамки на трети страни въвеждат уязвимости в API в тяхната среда, често без да знаят. Това излага клиентите на риск от изтичане на удостоверения или превземане на акаунти и дава на бандите платформа, от която да извършват по-нататъшни атаки, казват изследователите.

Използване на недостатъка на Expo

Когато потребителят щракне върху връзка, активирана от OAuth, за да влезе в сайт А с акаунт в социална медия, сайтът А ще отвори нов прозорец към Facebook, Google или какъвто и да е доверен акаунт, който се използва. Ако потребителят посещава за пръв път Сайт А, страницата на социалната медия ще поиска разрешение за споделяне на данни със Сайт А. Ако потребителят е преминавал през този процес преди, страницата на социалната медия автоматично ще удостовери автентичността на потребителя в Сайт А.

Изследователите от Salt Labs откриха CVE-2023-28131 в Codeacademy.com, онлайн платформа, която предлага безплатни класове по кодиране на дузина езици за програмиране. Компании, сред които Google, LinkedIn, Amazon, Spotify и други, използват сайта, за да подпомагат обучението на служители, а сайтът има около 100 милиона потребители. Изследователите в крайна сметка са използвали недостатъка, за да получат пълен контрол над акаунтите в Codeacademy.com, казват те.

Уязвимостта в имплементацията на OAuth в рамките на Expo е свързана с процеса на социално вписване, казва Кармел пред Dark Reading. „Когато потребителите влизат в системата, използвайки своите идентификационни данни от Facebook или Google, Expo действа като посредник и прехвърля идентификационните данни на потребителя към целевия уебсайт“, казва той.

Атакуващите биха могли да използват CVE-2023-28131, като прихванат този поток и манипулират Expo да изпрати потребителските пълномощия към злонамерен домейн вместо към предвидената дестинация, обяснява Carmel.

Тази експлоатация би могла да доведе до изтичане на лични данни или дори до финансова измама, ако нападателите са използвали пълномощията, за да влязат във финансовите сметки на потребителите. Освен това участниците в заплахите потенциално биха могли да извършат действия от името на потребителите в техните акаунти в социалните мрежи, казва Кармел.

Защо OAuth е труден

Популярността на OAuth се дължи на това, че може да осигури много по-безпроблемно потребителско изживяване за хората, когато взаимодействат с често използвани уебсайтове. Той обаче има сложна техническа основа, която може да доведе до грешки при прилагането му, създавайки пропуски в сигурността, които са готови за използване, казват изследователите.

Следователно, за да защити внедряването на OAuth, организацията трябва да разбере как функционира OAuth и кои крайни точки могат да получават потребителски входни данни, казва Кармел.

„Атакуващите могат да се опитат да манипулират тези входове, така че валидирането на всеки от тях е от съществено значение“, съветва той. „Това може да се постигне чрез поддържане на бял списък с предварително определени стойности или чрез прилагане на други строги методи за валидиране.“

Поради това колко сложни се оказват внедряванията на OAuth, Salt Security планира в бъдеще да издаде ръководство за най-добри практики, за да помогне на предприятията да защитят ефективно своите внедрявания на OAuth, добавя Кармел.

Източник: DARKReading

Подобни публикации

26 септември 2023

WatchGuard получи най-високото признание

WatchGuard е обявена за лидер в последния доклад на G2 Grid и е отл...
26 септември 2023

WatchGuard с награда за отлични постижения в об...

Имаме удоволствието да споделим, че WatchGuard е обявена за победит...
26 септември 2023

Рансъмуерът Akira мутира и се насочва към систе...

Откакто се появи като заплаха през март, рансъмуерът Arika продължи...
26 септември 2023

Разликите между локалната и облачната киберсигу...

Разликата между управлението на киберсигурността в локални и облачн...
26 септември 2023

Нов вариант на BBTok е насочен към над 40 банк...

Активна кампания за зловреден софтуер, насочена към Латинска Америк...
25 септември 2023

Правилата за API на TikTok затрудняват анализа ...

Според учени новите условия за достъп на изследователите до API на ...
Бъдете социални
Още по темата
21/09/2023

Разкрити критични недостатъ...

В софтуера за мрежово наблюдение Nagios...
15/09/2023

8 уязвимости в аналитичната...

Появиха се повече подробности за набор...
14/09/2023

Нови уязвимости в Kubernete...

Три взаимосвързани недостатъка в сигурността с...
Последно добавени
26/09/2023

WatchGuard получи най-висок...

WatchGuard е обявена за лидер в...
26/09/2023

WatchGuard с награда за отл...

Имаме удоволствието да споделим, че WatchGuard...
26/09/2023

Рансъмуерът Akira мутира и ...

Откакто се появи като заплаха през...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!