Търсене
Close this search box.

Грешка в OAuth засяга стотици сайтове и приложения на трети страни

Уязвимост в киберсигурността, открита при прилагането на функционалността за влизане в социалната мрежа, дава възможност за превземане на акаунти и др.

Уязвимост в прилагането на стандарта Open Authorization (OAuth), който уебсайтовете и приложенията използват за свързване с Facebook, Google, Apple, Twitter и др., може да позволи на нападателите да превземат потребителски акаунти, да получат достъп до чувствителна информация и/или да я изнесат и дори да извършат финансови измами.

OAuth влиза в действие, когато потребителят влезе в даден уебсайт и кликне върху връзка за влизане с друг акаунт в социална медия, например „Log in with Facebook“ или „Log in with Google“ – функция, която много сайтове използват, за да позволят удостоверяване между платформите. Екип от лабораторията Salt Labs на фирмата Salt Security, специализирана в областта на сигурността на API, е открил дефекта, проследен като CVE-2023-28131, в имплементацията на OAuth в Expo – рамка с отворен код за разработване на местни мобилни приложения за iOS, Android и други уеб платформи с помощта на единна кодова база.

По-конкретно, недостатъкът потенциално може да засегне всички потребители, които използват различни и акаунти в социални медии, за да се логнат в онлайн услуга, която използва рамката, разкриха изследователите в публикация в блога, публикувана на 24 май.

Уязвимостта е втората – и с по-голямо въздействие – която изследователите на Salt откриват в прилагането на OAuth от онлайн платформа, което се оказва труден стандарт за сигурно прилагане. През март Salt откри недостатък в прилагането на OAuth от Booking.com, който можеше да позволи на нападателите да превземат потребителски акаунти и да получат пълна видимост към техните лични данни или данни за платежни карти, както и да влязат в акаунти в сестринската платформа на уебсайта Kayak.com.

Риск за трети страни при внедряването на OAuth

Недостатъкът в Expo може да има много по-широко въздействие, отколкото този в Booking.com, поради широката инсталационна база на Expo, казва пред Dark Reading Авиад Кармел, изследовател по сигурността на Salt.

„Тъй като тази втора уязвимост на OAuth беше открита в рамка на трета страна, използвана от стотици компании, потенциалната експозиция беше много по-голяма“, казва той. „Тя можеше да повлияе на имплементациите на OAuth на стотици уебсайтове и приложения.“

Освен това OAuth се превръща в де факто стандарт за удостоверяване в съвременните архитектури, базирани на услуги, както и в нововъзникващите платформи, базирани на изкуствен интелект (ИИ). Това по своята същност означава, че всякакви уязвимости в реализациите на OAuth имат широк обхват. Всъщност в друго изследване, представено на 24 май, фирмата за сигурност DoControl разкри, че 24% от приложенията за изкуствен интелект на трети страни изискват рискови разрешения за OAuth.

Expo закърпи CVE-2023-28131 в рамките на няколко часа, след като изследователите на Salt сигнализираха за проблема, а разработчиците, поддържащи платформата, препоръчаха в публикация в блога, в която подробно се описва недостатъкът, клиентите да актуализират своите внедрявания на Expo, за да намалят напълно риска.

Въпреки това нарастващият списък с уязвимости на OAuth и цялостната сложност на правилното конфигуриране на стандарта, които те подчертават, предполагат, че под повърхността на повече уебсайтове и приложения може да се крият неоткрити недостатъци.

Констатациите също така показват как предприятията са неблагоприятно и широко засегнати, когато рамки на трети страни въвеждат уязвимости в API в тяхната среда, често без да знаят. Това излага клиентите на риск от изтичане на удостоверения или превземане на акаунти и дава на бандите платформа, от която да извършват по-нататъшни атаки, казват изследователите.

Използване на недостатъка на Expo

Когато потребителят щракне върху връзка, активирана от OAuth, за да влезе в сайт А с акаунт в социална медия, сайтът А ще отвори нов прозорец към Facebook, Google или какъвто и да е доверен акаунт, който се използва. Ако потребителят посещава за пръв път Сайт А, страницата на социалната медия ще поиска разрешение за споделяне на данни със Сайт А. Ако потребителят е преминавал през този процес преди, страницата на социалната медия автоматично ще удостовери автентичността на потребителя в Сайт А.

Изследователите от Salt Labs откриха CVE-2023-28131 в Codeacademy.com, онлайн платформа, която предлага безплатни класове по кодиране на дузина езици за програмиране. Компании, сред които Google, LinkedIn, Amazon, Spotify и други, използват сайта, за да подпомагат обучението на служители, а сайтът има около 100 милиона потребители. Изследователите в крайна сметка са използвали недостатъка, за да получат пълен контрол над акаунтите в Codeacademy.com, казват те.

Уязвимостта в имплементацията на OAuth в рамките на Expo е свързана с процеса на социално вписване, казва Кармел пред Dark Reading. „Когато потребителите влизат в системата, използвайки своите идентификационни данни от Facebook или Google, Expo действа като посредник и прехвърля идентификационните данни на потребителя към целевия уебсайт“, казва той.

Атакуващите биха могли да използват CVE-2023-28131, като прихванат този поток и манипулират Expo да изпрати потребителските пълномощия към злонамерен домейн вместо към предвидената дестинация, обяснява Carmel.

Тази експлоатация би могла да доведе до изтичане на лични данни или дори до финансова измама, ако нападателите са използвали пълномощията, за да влязат във финансовите сметки на потребителите. Освен това участниците в заплахите потенциално биха могли да извършат действия от името на потребителите в техните акаунти в социалните мрежи, казва Кармел.

Защо OAuth е труден

Популярността на OAuth се дължи на това, че може да осигури много по-безпроблемно потребителско изживяване за хората, когато взаимодействат с често използвани уебсайтове. Той обаче има сложна техническа основа, която може да доведе до грешки при прилагането му, създавайки пропуски в сигурността, които са готови за използване, казват изследователите.

Следователно, за да защити внедряването на OAuth, организацията трябва да разбере как функционира OAuth и кои крайни точки могат да получават потребителски входни данни, казва Кармел.

„Атакуващите могат да се опитат да манипулират тези входове, така че валидирането на всеки от тях е от съществено значение“, съветва той. „Това може да се постигне чрез поддържане на бял списък с предварително определени стойности или чрез прилагане на други строги методи за валидиране.“

Поради това колко сложни се оказват внедряванията на OAuth, Salt Security планира в бъдеще да издаде ръководство за най-добри практики, за да помогне на предприятията да защитят ефективно своите внедрявания на OAuth, добавя Кармел.

Източник: DARKReading

Подобни публикации

28 февруари 2024

Китай стартира нов план за киберзащита на индус...

Тази седмица Министерството на промишлеността и информационните тех...
28 февруари 2024

Уязвимостта на плъгина WordPress LiteSpeed изла...

В плъгина LiteSpeed Cache за WordPress е разкрита уязвимост в сигур...
28 февруари 2024

Xeno RAT се превръща в мощна заплаха в GitHub

В GitHub е публикуван „сложно проектиран“ троянски кон ...
28 февруари 2024

Хакването на Optum е свързано с рансъмуера Blac...

Кибератаката срещу дъщерното дружество на UnitedHealth Group Optum,...
28 февруари 2024

Новата версия на IDAT loader използва стеганогр...

Хакерска група, проследена като „UAC-0184“, е забелязан...
28 февруари 2024

DOOM идва в интелигентните косачки Husqvarna

Ако някога сте искали да играете DOOM на косачка за трева, скоро ще...
Бъдете социални
Още по темата
28/02/2024

Уязвимостта на плъгина Word...

В плъгина LiteSpeed Cache за WordPress...
22/02/2024

XSS бъгове в Joomla отварят...

Системата за управление на съдържание (CMS)...
20/02/2024

Над 28 500 сървъра на Excha...

Възможно е до 97 000 сървъра...
Последно добавени
28/02/2024

Китай стартира нов план за ...

Тази седмица Министерството на промишлеността и...
28/02/2024

Уязвимостта на плъгина Word...

В плъгина LiteSpeed Cache за WordPress...
28/02/2024

Xeno RAT се превръща в мощ...

В GitHub е публикуван „сложно проектиран“...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!