Търсене
Close this search box.

Дори NSA оставя грешки в софтуера си. В този случай става въпрос за проблем, който редовно се изплъзва на разработчиците.

Националната агенция за сигурност (NSA) е поправила уязвимост в CSRF (cross-site request forgery) в своята платформа за обучение на служители с отворен код, известна като SkillTree, показвайки колко трудно се улавят този клас грешки преди пускането им в производство.

SkillTree е онлайн платформа за обучение с игрови елементи, като точки и постижения, при постигане на учебни цели. Тя е разработена вътрешно от NSA и е публикувана в GitHub през 2020 г. Според прессъобщение на агенцията заявената ѝ цел е да „подобри начина, по който потребителите в агенцията взаимодействат с вътрешните сложни приложения“, както и да „рационализира и модернизира най-добрите практики за разработване на софтуер и DevOps в агенцията“.

На 12 юни изследователи от Contrast откриха и съобщиха за CSRF проблем, засягащ платформата. Оттогава той е обозначен като CVE-2024-39326 и му е присвоена „средна“ оценка 4,4 по CVSS.

При CSRF атака хакерите използват автентифицирани потребители като канал за изпращане на злонамерени заявки към целеви уебсайт или приложение. В този конкретен случай, благодарение на някои уязвими типове съдържание, използвани от множество крайни точки на SkillTree, хакер, който е подмамил потребител на ниво администратор да кликне върху злонамерена връзка, е можел да манипулира видеоклиповете, надписите и текстовете, свързани с техните онлайн уроци. Това би изисквало предварително познаване на целевото умение и името на проекта на SkillTree и такава атака не би изложила на риск допълнителни потребителски данни или системи.

NSA въведе поправка за този проблем в кръпка от 2 юли, която потребителите трябва да внедрят, за да избегнат манипулирането на уебсайтове.

DL за CSRF

„Твърде често CSRF уязвимостите се пренебрегват и не се поправят, преди кодът да бъде пуснат в производство“, пише Contrast в доклада си за CVE-2024-39326. „Разработчиците и екипите за сигурност на приложенията (AppSec) се фокусират върху по-напреднали атаки, които биха могли да доведат до разкриване на чувствителни данни; в резултат на това CSRF уязвимостите не се отстраняват, което оставя на злонамерените лица възможности за успешно изпълнение.“

Има обаче и нещо повече от пренебрегване. Проблемите с CSRF не се забелязват толкова лесно на първо място.

Една от основните причини за това е, че те не прекъсват нормалното функциониране на дадено приложение. И за разлика от грешките, които съществуват изцяло в кода на приложението, CSRF обикновено произлиза от проблеми в дизайна на удостоверяването и сесиите.

„SQL инжектирането е нещо, което би било много добре познато на разработчиците, защото за да се случи, разработчикът трябва да изпрати данни към база данни и така разработчикът прави нещо съзнателно“, обяснява изследователят от Contrast Джоузеф Битън. „За разлика от SQL инжекцията, CSRF е почти извън приложението. Тя е в браузъра.“

И добавя: „Има много видове заявки, които не са уязвими към CSRF. Приложението на SkillTree имаше десетки, може би стотици крайни точки и само няколко от тях бяха уязвими.“

За щастие съвременните браузъри използват ограничения и политики, за да предпазят сайтовете от самите тях. Съществуват бисквитки SameSite – за защита на бисквитките от кръстосани заявки – и строги политики за споделяне на ресурси от друг източник (CORS) за защита от неоторизирани кръстосани заявки и други, размиващи границата на отговорност между приложението и браузъра.

 

Източник: DARKReading

Подобни публикации

5 октомври 2024

Сривът на киберфирмата на елита от националнaта...

Сривът на IronNet: Някои твърдят, че фирмата се е сринала отчасти з...
5 октомври 2024

Рансъмуерът удря критичната инфраструктура, а р...

Финансовото въздействие на кибератака, насочена към киберфизична си...
4 октомври 2024

Русия арестува 96 души, свързани с прекъснати о...

Тази седмица руските власти обявиха, че са арестували 96 души по по...
4 октомври 2024

Използвана уязвимост на Ivanti EPM

Тази седмица Ivanti и американската агенция за киберсигурност CISA ...
4 октомври 2024

Холандското правителство обвинява АРТ за хакван...

Министърът на правосъдието заяви пред депутатите, че кибератаката, ...
3 октомври 2024

Криптопортфейли, насочени чрез пакети за Python...

Потребителите на популярни портфейли за криптовалута са били обект ...
3 октомври 2024

САЩ и техните съюзници издават ръководство за з...

Нови насоки от правителствени агенции в САЩ и съюзнически държави п...
3 октомври 2024

MITRE добавя смекчаващи мерки към модела на зап...

Във вторник (в България сряда )MITRE обяви пълната версия на модела...
Бъдете социални
Още по темата
02/10/2024

Eксплоатирани са уязвимости...

В понеделник американската агенция за киберсигурност...
30/09/2024

Критичен недостатък в NVIDI...

Критична уязвимост в NVIDIA Container Toolkit...
26/09/2024

Вратите на здравно заведени...

Изследовател твърди, че американско здравно заведение...
Последно добавени
05/10/2024

Сривът на киберфирмата на е...

Сривът на IronNet: Някои твърдят, че...
05/10/2024

Рансъмуерът удря критичната...

Финансовото въздействие на кибератака, насочена към...
04/10/2024

Русия арестува 96 души, свъ...

Тази седмица руските власти обявиха, че...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!