Изследователи откриха и публикуваха подробности за XSS атака, която потенциално може да засегне милиони уебсайтове по света.

Salt Labs, изследователското звено на фирмата за сигурност на API Salt Security, откри и публикува подробности за атака с кръстосано скриптиране на сайтове (XSS), която потенциално може да засегне милиони уебсайтове по света.

Това не е продуктова уязвимост, която може да бъде поправена централно. Това е по-скоро проблем с прилагането на уеб код и масово популярно приложение: OAuth, използвана за влизане в социалните мрежи. Повечето разработчици на уебсайтове смятат, че бичът XSS е останал в миналото, решен чрез поредица от смекчаващи мерки, въведени през годините. Salt показва, че това не е непременно така.

С по-малка концентрация върху проблемите с XSS и приложение за социални влизания, което се използва широко и е лесно за придобиване и внедряване за минути, разработчиците могат да отклонят вниманието си от проблема. Тук има усещане за познатост, а познатостта ражда  грешки.

Основният проблем не е непознат. Нова технология с нови процеси, въведена в съществуваща екосистема, може да наруши установеното равновесие на тази екосистема. Това се е случило тук. Проблемът не е в OAuth, а в прилагането на OAuth в уебсайтовете. От Salt Labs откриха, че ако не се прилага внимателно и стриктно – а това рядко се случва – използването на OAuth може да отвори нов път за XSS, който заобикаля настоящите смекчаващи мерки и може да доведе до пълно превземане на акаунти.

Salt Labs публикува подробности за своите констатации и методологии, като се концентрира само върху две фирми: HotJar и Business Insider. Значението на тези два примера е, първо, че това са големи фирми със силно изразено отношение към сигурността, и второ, че количеството на личните данни, които HotJar потенциално притежава, е огромно. Ако тези две големи фирми са приложили неправилно OAuth, то вероятността уебсайтове с по-малко ресурси да са направили подобно нещо е огромна.

За сведение вицепрезидентът по изследванията на Salt Янив Балмас заявява, че проблеми с OAuth са открити и в уебсайтове като Booking.com, Grammarly и OpenAI, но не ги е включил в доклада си. „Това са само бедните души, които попаднаха под нашия микроскоп. Ако продължим да търсим, ще го открием и на други места. Сигурен съм в това на 100%“, казва той.

Тук ще се съсредоточим върху HotJar заради насищането на пазара, количеството лични данни, които събира, и ниската му обществена разпознаваемост. „Той е подобен на Google Analytics или може би е допълнение към Google Analytics“, обясни Балмас. „Той записва много данни за потребителските сесии на посетителите на уебсайтовете, които го използват – което означава, че почти всеки ще използва HotJar на сайтове, включително Adobe, Microsoft, Panasonic, Columbia, Ryanair, Decathlon, T-Mobile, Nintendo и още много други големи имена.“ Спокойно може да се каже, че милиони уебсайтове използват HotJar.

Целта на HotJar е да събира статистически данни за потребителите за своите клиенти. „Но от това, което виждаме в HotJar, той записва екранни снимки и сесии и следи за кликвания с клавиатурата и действия с мишката. Потенциално там се съхранява много чувствителна информация, като имена, имейли, адреси, лични съобщения, банкови данни и дори идентификационни данни, а вие и милиони други потребители, които може би не са чували за HotJar, сега зависите от сигурността на тази фирма, за да запази информацията ви поверителна.“ И Salt Labs е открила начин да достигне до тези данни.

(В интерес на HotJar трябва да отбележим, че на фирмата ѝ бяха необходими само три дни, за да отстрани проблема, след като Salt Labs го разкри.)

HotJar е следвала всички най-добри практики за предотвратяване на XSS атаки. Това е трябвало да предотврати типичните атаки. Но HotJar също така използва OAuth, за да позволява социални влизания. Ако потребителят избере да „влезе с Google“, HotJar пренасочва към Google. Ако Google разпознае предполагаемия потребител, той пренасочва обратно към HotJar с URL адрес, който съдържа таен код, който може да бъде прочетен. По същество атаката е просто метод за фалшифициране и прихващане на този процес и получаване на легитимни тайни за вход.

„За да комбинираме XSS с тази нова функция за социално влизане (OAuth) и да постигнем работеща експлоатация, използваме код на JavaScript, който стартира нов поток за влизане в OAuth в нов прозорец и след това прочита токена от този прозорец“, обяснява Балмас. Google пренасочва потребителя, но с тайните за вход в URL адреса. „JS кодът прочита URL адреса от новия таб (това е възможно, защото ако имате XSS на домейн в един прозорец, този прозорец след това може да достигне до други прозорци със същия произход) и извлича от него удостоверенията OAuth.“

По същество „атаката“ се нуждае само от изработена връзка към Google (имитираща опит за социално влизане в HotJar, но изискваща отговор „код токен“, а не просто „код“, за да се предотврати използването от HotJar на еднократния код); и метод за социално инженерство, който да убеди жертвата да кликне върху връзката и да започне атаката (като кодът се предава на нападателя). Това е основата на атаката: фалшива връзка (но такава, която изглежда легитимна), убеждаване на жертвата да щракне върху връзката и получаване на код за влизане в системата, който може да бъде използван.

„След като нападателят получи кода на жертвата, той може да започне нов поток за влизане в HotJar, но да замени своя код с кода на жертвата – което води до пълно превземане на акаунта“, съобщава Salt Labs.

Уязвимостта не е в OAuth, а в начина, по който OAuth се прилага от много уебсайтове. Напълно сигурното изпълнение изисква допълнителни усилия, които повечето уебсайтове просто не осъзнават и не въвеждат в действие, или просто нямат вътрешните умения за това.

От собствените си разследвания Salt Labs смята, че вероятно има милиони уязвими уебсайтове по света. Мащабът е твърде голям, за да може фирмата да разследва и уведомява всеки поотделно. Вместо това Salt Labs реши да публикува своите констатации, но в комбинация с безплатен скенер, който позволява на уебсайтовете на потребителите на OAuth да проверят дали са уязвими.

Скенерът е достъпен тук.

Той осигурява безплатно сканиране на домейни като система за ранно предупреждение. Чрез предварителното идентифициране на потенциални проблеми с прилагането на OAuth XSS Salt се надява организациите да ги решат активно, преди да са прераснали в по-големи проблеми. „Нямаме обещания“, коментира Балмас. „Не мога да обещая 100% успех, но има много голям шанс да успеем да направим това и поне да насочим потребителите към критичните места в мрежата им, които може да са свързани с този риск.“

 

Източник: По материали от Интернет

Подобни публикации

23 януари 2025

Кибератаките влизат в топ 10 на рисковете за бъ...

Според Барометъра на риска на Алианц бизнесът в България определя к...
23 януари 2025

Тръмп помилва създателя на пазара на наркотици ...

Едва на втория ден от встъпването си в длъжност президентът Тръмп п...
23 януари 2025

Тръмп отменя правилата на Байдън за развитието ...

Президентът Доналд Тръмп отмени заповедта на бившия президент Джо Б...
22 януари 2025

Продуктите за сграден контрол на ABB са засегна...

Изследовател твърди, че е открил над 1000 уязвимости в продукти, пр...
22 януари 2025

Над 380 000 долара са изплатени през първия ден...

Инициативата Zero Day Initiative (ZDI) на Trend Micro обяви резулта...
22 януари 2025

Бомбени заплахи в училища от цяла България

Десетки училища в цялата страна получихабомбени заплахи.. По първон...
22 януари 2025

Хиперволуметричните DDoS атаки зачестяват

Най-голямата до момента разпределена атака за отказ на услуга (DDoS...
22 януари 2025

Тръмп уволнява Съвета за киберсигурност

В писмо, изпратено днес, изпълняващият длъжността секретар на Минис...
Бъдете социални
Още по темата
22/01/2025

13 000 рутера MikroTik от ц...

Глобална мрежа от около 13 000...
15/01/2025

Хакери измамиха 100 служите...

Службата на финансовия контрольор в Масачузетс...
06/01/2025

Фалшивите CAPTCHA атаки нар...

Експерти по сигурността предупреждават, че през...
Последно добавени
23/01/2025

Кибератаките влизат в топ 1...

Според Барометъра на риска на Алианц...
23/01/2025

Тръмп помилва създателя на ...

Едва на втория ден от встъпването...
23/01/2025

Тръмп отменя правилата на Б...

Президентът Доналд Тръмп отмени заповедта на...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!