Το SoundCloud ήταν στόχος για επίπληξη επίπληξης λόγω πιστοποίησης εξαιτίας του απεριόριστου αριθμού προσπαθειών σύνδεσης

SoundCloud API Vulnerabilities

Με πάνω από 170 εκατομμύρια χρήστες, το SoundCloud είναι αναμφισβήτητα μία από τις μεγαλύτερες πλατφόρμες ροής ήχου παγκοσμίως. Σύμφωνα με την Alexa, βρίσκεται στους 100 πιο δημοφιλείς ιστότοπους, οι οποίοι την καθιστούν ιδανικό υποψήφιο για μια καλή ματιά από την ερευνητική ομάδα της Checkmarx. Τον Νοέμβριο, οι εμπειρογνώμονες της Checkmarx ερεύνησαν την κατάσταση της ασφάλειας των API σε ευρέως χρησιμοποιούμενες online πλατφόρμες. Είναι ασφαλές να πούμε ότι δεν ήταν ιδιαίτερα ικανοποιημένοι με αυτό που βρήκαν στο SoundCloud.

Οι ερευνητές της Checkmarx ανακάλυψαν πολλά ευπάθειες ασφαλείας στο API του SoundCloud, τα οποία θα μπορούσαν να έχουν παρουσιάσει χάκερ με πολλές ευκαιρίες επίθεσης. Στα περισσότερα σενάρια, οι εγκληματίες δεν θα μπορούσαν να κάνουν τίποτα περισσότερο από να διαταράξουν την υπηρεσία του SoundCloud, αλλά υπήρξε ένας συνδυασμός δύο υπερβάσεων ασφαλείας οι οποίες, σε συνδυασμό με τις κακές συνήθειες των ανθρώπων που μιλούσαν για τον κωδικό πρόσβασης, θα μπορούσαν να επιτρέψουν μια μεγάλη επίθεση εξαγοράς λογαριασμού.

Δύο σφάλματα SoundCloud έκαναν εύκολη την παραλαβή των διαπιστευτηρίων και τις επιθέσεις βίαιης δύναμης

Η γέμιση παραληπτών είναι ένας από τους ευκολότερους τρόπους συμβιβασμού των online λογαριασμών ενός μεγάλου αριθμού ανθρώπων, γεγονός που δεν προκαλεί έκπληξη λαμβάνοντας υπόψη τις τεράστιες ποσότητες κλεμμένων κωδικών πρόσβασης που διαχέονται καθημερινά στο Διαδίκτυο. Επίσης, οι Crooks δεν αποφεύγουν να τοποθετήσουν πιο παραδοσιακές επιθέσεις βίαιης βίας όταν έχουν την ευκαιρία, γι 'αυτό και όταν οι ερευνητές της Checkmarx ξεκίνησαν την έρευνά τους για το σύστημα πιστοποίησης του SoundCloud, ένα από τα πρώτα τους καθήκοντα ήταν να δουν αν οι χρήστες της πλατφόρμας προστατεύονται από τέτοιου είδους δραστηριότητες. Αποδείχθηκε ότι δεν ήταν.

Πρώτον, οι ερευνητές συνειδητοποίησαν ότι θα μπορούσαν να απαριθμήσουν τους λογαριασμούς SoundCloud με σχετική ευκολία. Έλαβαν μια διεύθυνση ηλεκτρονικού ταχυδρομείου και ερωτήθηκαν μερικά από τα τελικά σημεία του API (αυτά που διευκολύνουν τις διαδικασίες σύνδεσης και επαναφοράς κωδικού πρόσβασης). Και στις δύο περιπτώσεις, οι απαντήσεις των τελικών σημείων θα έδειχναν σαφώς αν υπάρχει ένας λογαριασμός με αυτή τη διεύθυνση ηλεκτρονικού ταχυδρομείου, πράγμα που σημαίνει ότι χρησιμοποιώντας μια δέσμη ενεργειών, ένας εισβολέας θα μπορούσε να εκτελέσει αυτόματα μεγάλο αριθμό ερωτημάτων και να συντάξει μια λίστα έγκυρων λογαριασμών SoundCloud. Τότε, θα μπορούσαν να βγάλουν τον δρόμο τους.

Κατά τη διάρκεια της έρευνάς τους, οι ερευνητές του Checkmarx διαπίστωσαν ότι η SoundCloud δεν έθεσε κανένα όριο στον αριθμό των ανεπιτυχών προσπαθειών σύνδεσης που πραγματοποιήθηκαν σε ένα μόνο λογαριασμό. Οπλισμένοι με μια λίστα με διευθύνσεις ηλεκτρονικού ταχυδρομείου που σχετίζονται με έγκυρα προφίλ SoundCloud (τα οποία, όπως διαπιστώσαμε, δεν είναι δύσκολο να αποκτηθούν), οι χάκερ θα μπορούσαν να δοκιμάσουν όσους κωδικούς πρόσβασης επιθυμούσαν για καθέναν από αυτούς. Μια επίθεση γεμάτη επίπληξη ήταν μάλλον ευκολότερη. Το μόνο που έπρεπε να κάνουν οι χάκερ ήταν να παρακάμψουν τον περιοριστή του ρυθμού, ο οποίος, σύμφωνα με τον Checkmarx, ήταν εφικτός με ελαφρές τροποποιήσεις των αιτημάτων.

Τα σφάλματα ασφαλείας έκαναν το SoundCloud ευάλωτο σε επιθέσεις DoS

Το σενάριο δεν ήταν ακριβές και η δυνατότητα λήψης λογαριασμού, ειδικά για τους ανθρώπους που επαναχρησιμοποιούν τους κωδικούς πρόσβασής τους, ήταν πολύ πραγματικός. Ωστόσο, πριν από την αναφορά της ευπάθειας στο SoundCloud, οι εμπειρογνώμονες της Checkmarx αποφάσισαν να βρουν κάτι περισσότερο και να αναζητήσουν άλλα ελαττώματα που θα μπορούσαν να θέσουν σε κίνδυνο τους χρήστες ή την ίδια την υπηρεσία. Αποδείχθηκε ότι υπήρχαν μερικά ακόμη προβλήματα.

Η έλλειψη κατάλληλου περιορισμού των πόρων σήμαινε ότι με το χειρισμό ενός αιτήματος στο / track του τελικού σημείου του API του SoundCloud, οι ερευνητές κατάφεραν να ανακτήσουν μια λίστα περίπου 700 αναγνωριστικών κομματιών. Υπό κανονική χρήση, το API θα επιστρέψει μόλις 16 αναγνωριστικά κομματιών, τα οποία θα σας δώσουν μια ιδέα για το πόση πίεση θα μπορούσαν να δημιουργήσουν τα κατασκευασμένα αιτήματα στο υλικό του SoundCloud. Ήταν μια επίθεση Distributed Denial of Service (DDoS) που περιμένει να συμβεί.

Ένα άλλο σφάλμα στην εφαρμογή περιορισμού πόρων και ρυθμού θα μπορούσε να έχει δώσει στους επιτιθέμενους την ευκαιρία να διαφθείρουν τα δεδομένα που εμφανίζει το SoundCloud και μια παλιά έκδοση του διακομιστή web Nginx έδωσε πληροφορίες σχετικά με το σύστημα στο οποίο εκτελούσε την υπηρεσία. Ένα σφάλμα επικύρωσης εισόδου στο API σήμαινε επίσης ότι ένας εισβολέας θα μπορούσε να εισάγει μεγάλες χορδές χαρακτήρων στο πεδίο Περιγραφή, Τίτλος και Είδος κατά τη μεταφόρτωση ενός νέου τραγουδιού, το οποίο, θεωρητικά, άνοιξε την ευκαιρία για περαιτέρω εκμετάλλευση.

Το SoundCloud προσδιόρισε γρήγορα τις ευπάθειες

Οι ερευνητές της Checkmarx γνώριζαν ότι το SoundCloud είχε αρκετά προβλήματα για να διορθώσει, γι 'αυτό δεν έχασε χρόνο αποκαλύπτοντας τα θέματα. Η αναφορά στάλθηκε στις 11 Νοεμβρίου 2019 και την ίδια μέρα η πλατφόρμα ροής επιβεβαίωσε ότι άρχισε να ερευνά. Μέσα σε λιγότερο από ένα μήνα, οι πιο σοβαρές από τις ευπάθειες είχαν διορθωθεί και μέχρι τα τέλη Ιανουαρίου, όλες οι ανησυχίες του Checkmarx είχαν αντιμετωπιστεί.

Στην έκθεσή τους, οι ερευνητές σημείωσαν ότι εντυπωσιάζουν με τον επαγγελματισμό που δείχνει η ομάδα ασφάλειας της SoundCloud. Δυστυχώς, σήμερα, δεν βλέπουμε αυτό τόσο συχνά όσο θα έπρεπε.

February 13, 2020

Αφήστε μια απάντηση