信息化觀察網(wǎng)

本文來自嘶吼網(wǎng)（www.4hou.com），作者/陽光。

研究人員發(fā)現(xiàn)，一個(gè)大型的金融技術(shù)（Fintech）平臺(tái)的API中的一個(gè)服務(wù)器端請(qǐng)求偽造（SSRF）漏洞有可能會(huì)危及數(shù)百萬銀行賬戶的安全，攻擊者能夠通過控制客戶的銀行賬戶和資金進(jìn)行犯罪。

研究人員在周四發(fā)表的一份報(bào)告中披露，Salt Security的Salt Labs團(tuán)隊(duì)在一個(gè)支持該組織平臺(tái)資金轉(zhuǎn)移功能的網(wǎng)頁中的API中發(fā)現(xiàn)了這個(gè)漏洞，該功能允許客戶將其平臺(tái)上的賬戶中的錢轉(zhuǎn)移到他們的銀行賬戶內(nèi)。

該公司被稱為"Acme Fintech"，為各種規(guī)模的銀行提供"數(shù)字轉(zhuǎn)型"服務(wù)，并允許這些機(jī)構(gòu)將傳統(tǒng)的銀行服務(wù)轉(zhuǎn)換為在線服務(wù)。研究人員說，目前該平臺(tái)已被整合到許多銀行的系統(tǒng)中，因此它擁有數(shù)百萬的每日活躍用戶。

如果該漏洞被攻擊者所利用，那么攻擊者可能通過該平臺(tái)來獲得對(duì)銀行系統(tǒng)的管理權(quán)限從而進(jìn)行各種違法的活動(dòng)。研究人員說，他們可以從那里泄露用戶的個(gè)人數(shù)據(jù)，訪問銀行的詳細(xì)資料和金融交易，并在未授權(quán)的情況下向自己的銀行賬戶轉(zhuǎn)賬。

他們說，在發(fā)現(xiàn)該漏洞后，研究人員調(diào)查復(fù)現(xiàn)了他們的發(fā)現(xiàn)并向該組織提供了很好的緩解措施。

威脅攻擊者的高額回報(bào)

API中的漏洞經(jīng)常會(huì)被忽視，但Salt實(shí)驗(yàn)室的研究人員在報(bào)告中說，他們每天都會(huì)看到像這樣的漏洞以及其他與API有關(guān)的漏洞。

事實(shí)上，根據(jù)該公司2022年第一季度的API安全狀況報(bào)告，5%的組織在過去的12個(gè)月中經(jīng)歷了眾多API安全事件。他們說，這一時(shí)期可以看出惡意的API流量在大幅增長。

Salt Security的研究人員在一份新聞聲明中說，關(guān)鍵的SSRF漏洞在許多金融科技供應(yīng)商和銀行機(jī)構(gòu)內(nèi)普遍存在。API攻擊正在變得越來越頻繁和復(fù)雜。

研究人員說，金融科技公司特別容易受到攻擊，因?yàn)樗麄兊目蛻艉秃献骰锇樾枰揽魁嫶蟮腁PI網(wǎng)絡(luò)來實(shí)現(xiàn)各種網(wǎng)站、移動(dòng)應(yīng)用程序和定制集成系統(tǒng)之間的互動(dòng)。

研究人員寫道，這反過來又使他們成為了"API漏洞的攻擊者的主要攻擊目標(biāo)"，原因有二。

第一，他們的API整體功能非常豐富和復(fù)雜，這就意味著在開發(fā)中可能會(huì)出現(xiàn)錯(cuò)誤或者忽略一些細(xì)節(jié)。第二，如果一個(gè)攻擊者能夠成功地濫用這種類型的平臺(tái)，那么它潛在的利潤是巨大的，因?yàn)樗赡軙?huì)控制數(shù)百萬用戶的銀行賬戶和資金。

漏洞詳情

研究人員在掃描和記錄該組織網(wǎng)站上發(fā)送和接收的所有流量時(shí)發(fā)現(xiàn)了這個(gè)漏洞。在一個(gè)連接客戶在各家銀行之間進(jìn)行轉(zhuǎn)賬的頁面上，研究人員發(fā)現(xiàn)瀏覽器所調(diào)用的處理請(qǐng)求的API有問題。

這個(gè)API使用的是位于'/workflows/tasks//values'的端點(diǎn)，調(diào)用它的HTTP方法是PUT方法，而具體的請(qǐng)求數(shù)據(jù)是在HTTP正文部分發(fā)送的。

請(qǐng)求體還攜帶了一個(gè)JWT令牌，這是一個(gè)加密簽名的密鑰，可以讓服務(wù)器知道誰是請(qǐng)求用戶以及他有哪些權(quán)限。

研究人員解釋說，該漏洞存在于發(fā)送資金轉(zhuǎn)移所需數(shù)據(jù)的請(qǐng)求參數(shù)中，特別是一個(gè)名為"InstitutionURL"的參數(shù)，這是一個(gè)需要用戶提供的值。

在這種情況下，銀行的網(wǎng)絡(luò)服務(wù)器通過訪問URL本身來處理用戶提供的URL，如果它被插入到代碼中，那么它會(huì)允許SSRF中的網(wǎng)絡(luò)服務(wù)器調(diào)用任意一個(gè)URL。

SSRF漏洞的研究

研究人員通過偽造一個(gè)包含他們自己域名的惡意請(qǐng)求來復(fù)現(xiàn)這個(gè)漏洞。他們寫道，向他們服務(wù)器發(fā)送的連接請(qǐng)求是成功的，這證明了服務(wù)器會(huì)盲目地信任通過這個(gè)參數(shù)所提供給它的域名，并同時(shí)向該URL發(fā)出請(qǐng)求。

此外，進(jìn)入他們服務(wù)器還需要包含一個(gè)用于認(rèn)證的JWT令牌，但是這個(gè)令牌與原始請(qǐng)求中的令牌不同。

研究人員將新的JWT令牌嵌入到了他們之前遇到的一個(gè)名為"/accounts/account"的端點(diǎn)請(qǐng)求中，該請(qǐng)求允許他們從一個(gè)銀行賬戶中檢索信息。他們說，這一次他們返回了更多的用戶信息。

研究人員透露，API端點(diǎn)識(shí)別了我們新的JWT管理令牌，并返回了整個(gè)平臺(tái)的每個(gè)用戶及其詳細(xì)信息的列表。

他們說，用新的令牌再次嘗試請(qǐng)求一個(gè)名為"/transactions/transactions"的端點(diǎn)，結(jié)果也允許他們?cè)L問銀行系統(tǒng)中的每個(gè)用戶的交易列表。

研究人員說，這是一個(gè)非常致命的漏洞，它完全侵害了每個(gè)銀行用戶的權(quán)益。如果攻擊者發(fā)現(xiàn)了這個(gè)漏洞，他們可能會(huì)對(duì)該組織和其用戶造成嚴(yán)重的損害。

Balmas說，Salt實(shí)驗(yàn)室希望，API漏洞的出現(xiàn)將會(huì)繼續(xù)激勵(lì)安全從業(yè)者更加仔細(xì)的研究他們的系統(tǒng)如何避免受到這種方式的攻擊。

本文翻譯自：https://threatpost.com/ssrf-flaw-fintech-bank-accounts/179247/