Дори NSA оставя грешки в софтуера си. В този случай става въпрос за проблем, който редовно се изплъзва на разработчиците.
Националната агенция за сигурност (NSA) е поправила уязвимост в CSRF (cross-site request forgery) в своята платформа за обучение на служители с отворен код, известна като SkillTree, показвайки колко трудно се улавят този клас грешки преди пускането им в производство.
SkillTree е онлайн платформа за обучение с игрови елементи, като точки и постижения, при постигане на учебни цели. Тя е разработена вътрешно от NSA и е публикувана в GitHub през 2020 г. Според прессъобщение на агенцията заявената ѝ цел е да „подобри начина, по който потребителите в агенцията взаимодействат с вътрешните сложни приложения“, както и да „рационализира и модернизира най-добрите практики за разработване на софтуер и DevOps в агенцията“.
На 12 юни изследователи от Contrast откриха и съобщиха за CSRF проблем, засягащ платформата. Оттогава той е обозначен като CVE-2024-39326 и му е присвоена „средна“ оценка 4,4 по CVSS.
При CSRF атака хакерите използват автентифицирани потребители като канал за изпращане на злонамерени заявки към целеви уебсайт или приложение. В този конкретен случай, благодарение на някои уязвими типове съдържание, използвани от множество крайни точки на SkillTree, хакер, който е подмамил потребител на ниво администратор да кликне върху злонамерена връзка, е можел да манипулира видеоклиповете, надписите и текстовете, свързани с техните онлайн уроци. Това би изисквало предварително познаване на целевото умение и името на проекта на SkillTree и такава атака не би изложила на риск допълнителни потребителски данни или системи.
NSA въведе поправка за този проблем в кръпка от 2 юли, която потребителите трябва да внедрят, за да избегнат манипулирането на уебсайтове.
„Твърде често CSRF уязвимостите се пренебрегват и не се поправят, преди кодът да бъде пуснат в производство“, пише Contrast в доклада си за CVE-2024-39326. „Разработчиците и екипите за сигурност на приложенията (AppSec) се фокусират върху по-напреднали атаки, които биха могли да доведат до разкриване на чувствителни данни; в резултат на това CSRF уязвимостите не се отстраняват, което оставя на злонамерените лица възможности за успешно изпълнение.“
Има обаче и нещо повече от пренебрегване. Проблемите с CSRF не се забелязват толкова лесно на първо място.
Една от основните причини за това е, че те не прекъсват нормалното функциониране на дадено приложение. И за разлика от грешките, които съществуват изцяло в кода на приложението, CSRF обикновено произлиза от проблеми в дизайна на удостоверяването и сесиите.
„SQL инжектирането е нещо, което би било много добре познато на разработчиците, защото за да се случи, разработчикът трябва да изпрати данни към база данни и така разработчикът прави нещо съзнателно“, обяснява изследователят от Contrast Джоузеф Битън. „За разлика от SQL инжекцията, CSRF е почти извън приложението. Тя е в браузъра.“
И добавя: „Има много видове заявки, които не са уязвими към CSRF. Приложението на SkillTree имаше десетки, може би стотици крайни точки и само няколко от тях бяха уязвими.“
За щастие съвременните браузъри използват ограничения и политики, за да предпазят сайтовете от самите тях. Съществуват бисквитки SameSite – за защита на бисквитките от кръстосани заявки – и строги политики за споделяне на ресурси от друг източник (CORS) за защита от неоторизирани кръстосани заявки и други, размиващи границата на отговорност между приложението и браузъра.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.