研究者は、数百万人に影響を与える可能性のある銀行プラットフォームの大きな欠陥を発見しました

サイバーセキュリティ研究チームは、すでに多数の銀行システムに実装されている金融サービスプラットフォームに重大な脆弱性を発見しました。

Salt Labsのチームは、金融プラットフォームで使用されるAPIに大きな欠陥があることを発見しました。このエクスプロイトは、サーバー側のリクエストフォージェリまたはSSRFでした。悪用に成功した場合、この欠陥は潜在的な災害につながる可能性があり、脅威の攻撃者が数百万人のユーザーの銀行口座を使い果たす可能性があります。

欠陥により、ハッカーの管理者アクセスが許可される可能性があります

この欠陥は、金融サービスプラットフォームの顧客がプラットフォームウォレットから銀行口座にお金を移動できるようにする機能を含むページで発見されました。

金融サービスプラットフォームを所有および管理している会社は名前が付けられていませんが、銀行が従来の銀行からオンラインバンキングに移行できるサービスを提供している会社として説明されています。 Salt Labsの調査チームによると、現在、そのプラットフォームを使用している人は何百万人もいます。

発見された問題は、潜在的な脅威アクターに、問題のプラットフォームの実装を選択した銀行への管理者アクセスを許可するのに十分なほど重要でした。このような高レベルの特権アクセスが取得されると、空が限界になります。ハッカーは、顧客アカウントの流出から、個人を特定できる情報の盗用、過去の取引に関する情報へのアクセスまで、さまざまな方法でこれを悪用した可能性があります。

この脆弱性は、研究者が名前のない会社のWebサイト全体のトラフィックを監視しているときに発見されました。そこで、リクエストを処理するためにブラウザによって呼び出されたAPI内の障害をインターセプトしました。

欠陥の根本にある不適切なパラメータ処理

このエクスプロイトでは、ページのパラメーター内にコードを挿入し、プラットフォームを使用して銀行機関から提供されたものではなく、APIに新しい任意のドメインURLに接続させることができました。

脆弱性の証拠として、Salt Labsは悪い要求を処理し、銀行機関のドメインを独自のドメインに置き換えてから、彼らの側で接続を受け取りました。つまり、これは、サーバーがドメイン文字列をチェックせず、InstitutionURLパラメーターで受信したものを「信頼」し、改ざんを可能にすることを証明しました。

調査チームによると、APIに存在する欠陥や脆弱性は、積極的に使用されているAPIの海全体に豊富に存在する可能性があるにもかかわらず、一般的に見過ごされています。