Dėl neriboto prisijungimo bandymų skaičiaus „SoundCloud“ buvo taikinys už kredencialų užpildymo išpuolius

SoundCloud API Vulnerabilities

Turinti daugiau nei 170 milijonų vartotojų, „SoundCloud“ yra neabejotinai viena didžiausių garso transliavimo platformų pasaulyje. Pasak Alexa, tai patenka į populiariausių svetainių šimtuką, todėl „Checkmarx“ saugumo tyrimų komanda tapo puikiu kandidatu gerai apsižvalgyti. Lapkritį „Checkmarx“ ekspertai tyrė API saugumo būklę plačiai naudojamose internetinėse platformose. Galima sakyti, kad jie nebuvo ypač patenkinti tuo, ką rado „SoundCloud“.

„Checkmarx“ tyrėjai aptiko keletą „SoundCloud“ API saugos spragų, kurios įsilaužėliams galėjo suteikti daugybę išpuolių galimybių. Daugelyje scenarijų nusikaltėliai būtų galėję padaryti ne ką daugiau, nei sutrikdyti „SoundCloud“ tarnybą, tačiau ten buvo derinamos dvi saugumo priežiūros priemonės, kurios kartu su žmonių blogais slaptažodžio įpročiais galėjo leisti vykdyti didelio masto sąskaitos perėmimo išpuolį.

Dvi „SoundCloud“ klaidos palengvino įgaliojimo užpildymą ir žiaurios jėgos išpuolius

Įgaliojimų įklijavimas yra vienas iš paprasčiausių būdų pakenkti daugybės žmonių internetinėms sąskaitoms. Tai nenuostabu, atsižvelgiant į didžiulį pavogtų slaptažodžių kiekį, kuris kiekvieną dieną išplinta internete. Crooksas taip pat nevengia rengti tradicinių brutalios jėgos atakų, kai tik gauna galimybę, todėl „Checkmarx“ tyrėjams pradėjus tyrimą dėl „SoundCloud“ autentifikavimo sistemos, viena iš jų pirmųjų užduočių buvo išsiaiškinti, ar srautinės platformos vartotojai nėra apsaugotas nuo tokio pobūdžio veiklos. Paaiškėjo, kad jų nebuvo.

Pirmiausia tyrėjai suprato, kad jie gali gana lengvai išvardyti „SoundCloud“ paskyras. Jie paėmė el. Pašto adresą ir paklausė keleto API galinių taškų (palengvinančių prisijungimo ir slaptažodžio nustatymo procesus). Abiem atvejais galinių taškų atsakymai aiškiai nurodytų, ar yra sąskaita su šiuo el. Pašto adresu, o tai reiškė, kad naudodamas scenarijų užpuolikas galėjo automatiškai atlikti daugybę užklausų ir sudaryti galiojančių „SoundCloud“ paskyrų sąrašą. Tuomet jie galėjo pasipiktinti.

Tyrimo metu „Checkmarx“ tyrėjai išsiaiškino, kad „SoundCloud“ neapribojo nesėkmingų prisijungimo bandymų, atliktų vienoje sąskaitoje, skaičiaus. Apsiginklavę el. Pašto adresų, susijusių su galiojančiais „SoundCloud“ profiliais, sąrašu (kurį, kaip mes jau nustatėme, nėra sunku gauti), įsilaužėliai galėjo išbandyti tiek slaptažodžių, kiek norėjo kiekvienam iš jų. Akreditavimo įdaro išpuolis, be abejo, buvo dar lengvesnis. Vienintelis dalykas, kurį turėjo įsilaužėliai, buvo apeiti greičio ribotuvą, kuris, pasak „Checkmarx“, buvo įmanomas šiek tiek modifikuojant prašymus.

Saugumo klaidos padarė „SoundCloud“ pažeidžiamą „DoS“ atakų

Scenarijus nebuvo tiksliai pateiktas, o galimybė perimti sąskaitą, ypač žmonėms, kurie pakartotinai naudoja savo slaptažodžius, buvo labai reali. Tačiau prieš pranešdami apie „SoundCloud“ pažeidžiamumą, „Checkmarx“ ekspertai nusprendė dar šiek tiek pasislėpti ir ieškoti kitų trūkumų, kurie vartotojams ar pačiai paslaugai gali sukelti pavojų. Paaiškėjo, kad buvo dar kelios problemos.

Tinkamo išteklių ribojimo nebuvimas reiškė, kad manipuliuodami užklausa „SoundCloud“ API galutiniam taškui / takeliams, tyrinėtojams pavyko gauti beveik 700 takelių ID sąrašą. Įprastai naudojant API būtų grąžinta tik 16 takelių ID, kurie turėtų suteikti jums supratimą, kokį spaudimą atliktos užklausos gali sukelti „SoundCloud“ aparatinei įrangai. Tai buvo paskirstytos paslaugų neigimo (DDoS) ataka, laukianti įvykio.

Kita išteklius ribojanti išteklių ir spartos diegimo klaida galėjo suteikti užpuolikams galimybę sugadinti „SoundCloud“ rodomus duomenis, o sena „Nginx“ žiniatinklio serverio versija suteikė informacijos apie sistemą, kurioje veikia ši paslauga. Įvesties patvirtinimo klaida API taip pat reiškė, kad užpuolikas gali įvesti ilgas simbolių eilutes lauke „Aprašymas“, „Pavadinimas“ ir „Žanras“, įkeldamas naują dainą, kuri teoriškai atvėrė galimybę toliau naudoti.

„SoundCloud“ greitai pašalino pažeidžiamumą

„Checkmarx“ tyrėjai žinojo, kad „SoundCloud“ turėjo nemažai problemų, todėl jie negaišdavo laiko atskleisdami problemas. Ataskaita buvo išsiųsta 2019 m. Lapkričio 11 d., O tą pačią dieną transliacijos platforma patvirtino, kad ji pradėjo tyrimą. Per mažiau nei mėnesį sunkiausias pažeidžiamumas buvo pašalintas, o iki sausio pabaigos buvo pašalintos visos „Checkmarx“ problemos.

Savo pranešime tyrėjai pažymėjo, kad jie yra sužavėti „SoundCloud“ saugumo komandos parodytu profesionalumu. Deja, šiais laikais mes to nematome taip dažnai, kaip turėtume.

February 13, 2020

Palikti atsakymą