A SoundCloud a korlátlan számú bejelentkezési kísérlet miatt a hitelesítő adatok kitöltésének célja volt.

SoundCloud API Vulnerabilities

Több mint 170 millió felhasználóval a SoundCloud kétségtelenül a világ egyik legnagyobb audio streaming platformja. Alexa szerint ez a 100 leglátogatottabb weboldalon helyezkedik el, ezért tökéletes jelölt volt arra, hogy a Checkmarx biztonsági kutatócsoportja körültekinthessen. Novemberben a Checkmarx szakértői az API biztonságának állapotát kutatták a széles körben használt online platformokon. Nyugodtan mondhatjuk, hogy nem voltak különösebben elégedettek azzal, amit a SoundCloud- ban találtak.

A Checkmarx kutatói számos biztonsági rést fedeztek fel a SoundCloud API-ban, amelyek a hackerek számára rengeteg támadási lehetőséget jelentettek volna. A legtöbb forgatókönyvben a bűnözők alig tudtak volna többet megtenni, mint megzavarni a SoundCloud szolgáltatását, de két biztonsági felügyelet volt kombinációja, amelyek az emberek rossz jelszó-szokásaival párhuzamosan lehetővé tehettek egy nagyszabású fiókátvételi támadást.

Két SoundCloud hiba megkönnyítette a hitelesítő adatok kitöltését és a brute-force támadásokat

A hitelesítő adatok kitöltése az egyik legegyszerűbb módja annak, hogy veszélyeztessük sok ember online számláit, ami nem meglepő, ha figyelembe vesszük az ellopott jelszavak hatalmas mennyiségét, amelyek minden nap kiürülnek az interneten. A Crooks nem is fél a tradicionális brutális erőszakos támadásoktól, amikor lehetőségük van rá, ezért amikor a Checkmarx kutatói megkezdték a SoundCloud hitelesítési rendszerének vizsgálatát, egyik első feladatuk az volt, hogy megvizsgálják, hogy a streaming platform felhasználói védett az ilyen tevékenységek ellen. Kiderült, hogy nem voltak.

Először a kutatók rájöttek, hogy viszonylag könnyedén fel tudják számolni a SoundCloud fiókokat. Vettek egy e-mail címet, és megkérdezték az API néhány végpontját (amelyek megkönnyítik a bejelentkezés és a jelszó visszaállítását). Mindkét esetben a végpontok válaszai egyértelműen jelzik, hogy van-e ilyen e-mail címmel rendelkező fiók, ami azt jelentette, hogy egy szkript használatával a támadó automatikusan nagyszámú lekérdezést végrehajthat, és összeállíthatja az érvényes SoundCloud-fiókok listáját. Aztán brute-force-kényszeríthetik magukat.

A vizsgálat során a Checkmarx kutatói kiderítették, hogy a SoundCloud nem korlátozta az egyetlen fióknál végrehajtott sikertelen bejelentkezési kísérletek számát. Az érvényes SoundCloud profilokhoz társított e-mail címek listájával felfegyverkezve (amelyeket, amint azt már megállapítottuk, nem nehéz megszerezni), a hackerek mindegyikük számára annyi jelszót kipróbálhattak, amennyit csak akartak. A hitelesítő adatokkal kapcsolatos támadás vitathatatlanul még könnyebb volt. A hackereknek csak azt kellett megtenniük a sebességkorlátozót, amely Checkmarx szerint a kérések enyhe módosításával lehetséges.

A biztonsági hibák miatt a SoundCloud érzékeny a DoS támadásokra

A forgatókönyv nem volt pontosan távoli, és a fiókváltás lehetősége, különösen a jelszavaikat újrafelhasználó emberek számára, nagyon valódi volt. Mielőtt azonban bejelentette a SoundCloud sérülékenységét, a Checkmarx szakértői úgy döntöttek, hogy tesznek még néhány dolgot, és keresnek más hibákat, amelyek veszélyeztethetik a felhasználókat vagy a szolgáltatást. Kiderült, hogy volt még néhány probléma.

A megfelelő erőforrás-korlátozás hiánya azt jelentette, hogy a SoundCloud API / track végpontjára irányuló kérés manipulálásával a kutatóknak sikerült visszakeresni egy közel 700 track ID listát. Normál használat esetén az API mindössze 16 műsorszám-azonosítót adna vissza, amely képet ad arról, hogy a kidolgozott kérelmek milyen nagy nyomást gyakorolhatnak a SoundCloud hardverére. Ez egy elosztott szolgáltatásmegtagadási (DDoS) támadás volt, amely várhatóan megtörténik.

Az erőforrás- és a sebességkorlátozó végrehajtás egy másik hibája a támadóknak lehetőséget adott arra, hogy megsértsék a SoundCloud által megjelenített adatokat, és az Nginx webszerver régi verziója információkat szolgáltatott a rendszer működéséről. Az API-n belüli érvényesítési hiba azt is jelentette, hogy a támadó hosszú karaktersorozatokat írhat be a Leírás, a cím és a műfaj mezőbe egy új dal feltöltésekor, amely elméletileg lehetőséget adott a további felhasználásra.

A SoundCloud a sérülékenységeket gyorsan kijavította

A Checkmarx kutatói tudták, hogy a SoundCloudnak nagyon sok probléma van javításában, ezért nem pazaroltak időt a problémák feltárására. A jelentést 2019. november 11-én küldték meg, és ugyanazon a napon a streaming platform megerősítette, hogy megkezdte a vizsgálatot. Kevesebb, mint egy hónapon belül a legsebezhetőbb sebezhetőségeket megjavították, és január végére a Checkmarx összes aggályával foglalkoztak.

Jelentésükben a kutatók rámutattak, hogy lenyűgözte őket a SoundCloud biztonsági csapata által mutatott professzionalizmus. Sajnos manapság ezt nem látjuk olyan gyakran, mint kellene.

February 13, 2020

Válaszolj