SoundCloud var et mål for legitimt fylde angreb på grund af det ubegrænsede antal loginforsøg

SoundCloud API Vulnerabilities

Med over 170 millioner brugere er SoundCloud utvivlsomt en af verdens største lydstreamingsplatforme. Ifølge Alexa er det blandt de 100 mest besøgte websteder, hvilket gjorde det til en perfekt kandidat til et godt kig omkring af Checkmarxs sikkerhedsforskningsteam. Tilbage i november undersøgte Checkmarx 'eksperter status for API-sikkerhed i vidt anvendte online platforme. Det er sikkert at sige, at de ikke var særlig tilfredse med det, de fandt på SoundCloud.

Checkmarxs forskere opdagede adskillige sikkerhedssårbarheder i SoundCloud API, som kunne have givet hackere masser af angrebsmuligheder. I de fleste scenarier ville de kriminelle have været i stand til at gøre lidt mere end at forstyrre SoundClouds service, men der var en kombination af to sikkerhedsovervågninger, som sammen med folks dårlige adgangskodevaner kunne have muliggjort et storskala overtagelse af kontoen.

To SoundCloud-bugs gjorde det nemmere at udfylde legitimation og brute-force-angreb

Credential stuffing er en af de nemmeste måder at kompromittere onlinekonti for et stort antal mennesker, hvilket ikke er overraskende i betragtning af de store mængder stjålne adgangskoder, der bliver spildt på internettet hver dag. Crooks holder sig heller ikke væk fra at montere mere traditionelle brute-force-angreb, når de får chancen, og det er grunden til, da Checkmarxs forskere startede deres undersøgelse af SoundCloud's autentificeringssystem, en af deres første opgaver var at se, om streamingplatformens brugere var beskyttet mod denne slags aktiviteter. Det viste sig, at de ikke var det.

Først indså forskerne, at de kunne opregne SoundCloud-konti med relativt lethed. De tog en e-mail-adresse og forespurgte et par af API's endpoints (dem, der letter processen for login og nulstilling af adgangskode). I begge tilfælde vil slutpunkternes svar tydeligt indikere, om der findes en konto med denne e-mail-adresse, hvilket betød, at en angriber ved hjælp af et script automatisk kunne udføre et stort antal forespørgsler og sammensætte en liste over gyldige SoundCloud-konti. Derefter kunne de brute-force deres vej ind.

Under deres undersøgelse fandt Checkmarxs forskere ud af, at SoundCloud ikke havde sat nogen grænse for antallet af mislykkede loginforsøg udført på en enkelt konto. Bevæbnet med en liste over e-mail-adresser, der er tilknyttet gyldige SoundCloud-profiler (som, som vi allerede har etableret, ikke er vanskeligt at få), kunne hackerne prøve så mange adgangskoder, som de ville for hver enkelt af dem. Et legitimationsudstoppningsangreb var uden tvivl endnu lettere. Det eneste, hackerne havde brug for, var at omgå hastighedsbegrænseren, som ifølge Checkmarx var mulig med mindre ændringer af anmodningerne.

Sikkerhedsfejl gjorde SoundCloud sårbar over for DoS-angreb

Scenariet var ikke nøjagtigt langt fremhersket, og muligheden for overtagelse af konti, især for folk, der genbruger deres adgangskoder, var meget reel. Før rapportering af sårbarheden til SoundCloud, besluttede Checkmarx 'eksperter imidlertid at gøre noget mere ved at kigge rundt og kigge efter andre fejl, der kunne bringe brugerne eller selve tjenesten i fare. Det viste sig, at der var et par flere problemer.

Manglen på korrekt ressourcebegrænsning betød, at forskerne formåede at hente en liste med tæt på 700 spor-id'er ved at manipulere en anmodning til / sporets endepunkt for SoundCloud API. Under normal brug returnerede API kun 16 spor-id'er, hvilket skulle give dig en idé om, hvor meget pres de udformede anmodninger kunne lægge på SoundCloud's hardware. Det var et Distribueret Denial of Service (DDoS) angreb, der ventede på at ske.

En anden fejl i den ressource- og hastighedsbegrænsende implementering kunne have givet angribere muligheden for at ødelægge de data, SoundCloud viste, og en gammel version af Nginx-webserveren gav væk oplysninger om systemet, som tjenesten kørte på. En inputvalideringsfejl i APIen betød også, at en angriber kunne indtaste lange strenge af tegn i feltet Beskrivelse, titel og genre ved upload af en ny sang, hvilket teoretisk set åbnede muligheden for yderligere udnyttelse.

SoundCloud rettede sårbarhederne hurtigt

Checkmarxs forskere vidste, at SoundCloud havde en hel del problemer med at løse, hvilket er grunden til, at de spildte ingen tid på at afsløre problemerne. Rapporten blev sendt den 11. november 2019, og samme dag bekræftede streamingplatformen, at den er begyndt at undersøge. Inden for mindre end en måned blev de mest alvorlige af sårbarhederne rettet op, og i slutningen af januar var alle Checkmarx 'bekymringer blevet behandlet.

I deres rapport bemærkede forskerne, at de er imponeret over den professionalisme, der er vist af SoundClouds sikkerhedsteam. Desværre i dag ser vi ikke dette så ofte som vi burde.

February 13, 2020

Efterlad et Svar