SoundCloud var ett mål för legitimitetsfyllda attacker på grund av det obegränsade antalet inloggningsförsök
Med över 170 miljoner användare är SoundCloud utan tvekan en av världens största plattformar för ljudströmning. Enligt Alexa är det bland de 100 mest besökta webbplatserna, vilket gjorde det till en perfekt kandidat för en bra titt runt av Checkmarxs säkerhetsforskningsteam. Redan i november undersökte Checkmarx experter tillståndet för API-säkerhet i allmänt använda onlineplattformar. Det är säkert att säga att de inte var särskilt nöjda med vad de hittade på SoundCloud.
Checkmarx forskare upptäckte flera säkerhetssårbarheter i SoundCloud API, som kunde ha gett hackare många attackmöjligheter. I de flesta scenarier skulle brottslingarna ha kunnat göra lite mer än att störa SoundClouds tjänst, men det fanns en kombination av två säkerhetsövervakningar, i kombination med människors dåliga lösenordsvanor, kunde ha möjliggjort en storskalig övertagande av kontot.
Table of Contents
Två SoundCloud-buggar underlättade pålitliga stoppningar och brute-force-attacker
Credential stuffing är ett av de enklaste sätten att kompromissa med onlinekonton för ett stort antal människor, vilket inte är förvånande med tanke på de stora mängderna stulna lösenord som spills på internet varje dag. Crooks förhindrar inte heller att montera mer traditionella brute-force-attacker när de får chansen, varför när Checkmarx forskare startade sin utredning av SoundClouds autentiseringssystem var en av deras första uppgifter att se om strömningsplattformens användare var skyddade mot denna typ av aktiviteter. Det visade sig att de inte var det.
Först insåg forskarna att de kunde räkna upp SoundCloud-konton med relativt enkelhet. De tog en e-postadress och frågade ett par av API: s endpoints (de som underlättar inloggnings- och lösenordets återställningsprocesser). I båda fallen skulle slutpunkternas svar tydligt indikera om det finns ett konto med den här e-postadressen, vilket innebar att en attackerare med ett skript automatiskt kunde utföra ett stort antal frågor och sätta ihop en lista med giltiga SoundCloud-konton. Sedan kunde de brute-tvinga sig in.
Under deras utredning fann Checkmarx forskare att SoundCloud inte hade satt någon gräns för antalet misslyckade inloggningsförsök som utförts på ett enda konto. Beväpnad med en lista över e-postadresser associerade med giltiga SoundCloud-profiler (som, som vi redan har etablerat, inte är svårt att få), kunde hackarna prova så många lösenord som de ville för var och en av dem. Det var utan tvekan ännu lättare att göra en fullständig stoppningsattack. Det enda hackarna behövde göra var att kringgå taktenbegränsaren, som enligt Checkmarx var möjlig med små ändringar av förfrågningarna.
Säkerhetsfel gjorde SoundCloud sårbart för DoS-attacker
Scenariot var inte riktigt långtgående, och möjligheten att ta över konton, särskilt för personer som återanvänder sina lösenord, var mycket verklig. Innan rapporteringen av sårbarheten till SoundCloud, beslutade dock Checkmarx experter att göra lite mer och titta efter andra brister som kan sätta användare eller själva tjänsten i fara. Det visade sig att det fanns några fler problem.
Avsaknaden av korrekt resursbegränsning innebar att forskarna lyckades hämta en lista med nära 700 spår-ID genom att manipulera en begäran till / spårets slutpunkt. Under normal användning skulle API: n returnera bara 16 spår-ID: er, vilket skulle ge dig en uppfattning om hur mycket tryck de utformade förfrågningarna kan sätta på SoundCloud hårdvara. Det var en Distribution Denial of Service (DDoS) attack som väntar på att hända.
Ett annat fel i den resurs- och hastighetsbegränsande implementeringen kan ha gett angriparna chansen att skada data som SoundCloud visade, och en gammal version av Nginx webbserver gav bort information om systemet tjänsten körde på. Ett inmatningsvalideringsfel i API innebar också att en angripare kunde ange långa strängar med tecken i fältet Beskrivning, titel och genre när man laddade upp en ny låt, vilket teoretiskt sett öppnade möjligheten för ytterligare exploatering.
SoundCloud fixade sårbarheterna snabbt
Checkmarx forskare visste att SoundCloud hade ganska många problem att fixa, varför de slösade bort ingen tid på att avslöja problemen. Rapporten skickades den 11 november 2019, och samma dag bekräftade streamingplattformen att den har börjat utreda. Inom mindre än en månad korrigerades de allvarligaste av sårbarheterna, och i slutet av januari hade alla Checkmarx bekymmer tagits upp.
I sin rapport konstaterade forskarna att de är imponerade av den professionalism som SoundClouds säkerhetsteam visade. Tyvärr, idag, ser vi detta inte så ofta som vi borde.
