Salt Labs identifiziert die Sicherheitslücke Server-Side Request Forgery (SSRF) in einer digitalen Banking-Plattform, die für unbefugte Geldtransfers und die Offenlegung von persönlichen Daten und Finanztransaktionsdaten der Nutzer hätte verwendet werden können.
Salt Security, Anbieter von API-Sicherheit, veröffentlicht den neuen API-Schwachstellen-Bericht von Salt Labs, in der ein Server-Side Request Forgery (SSRF)-Fehler in der digitalen Plattform eines US-amerikanischen FinTech-Unternehmens entdeckt wurde. Die FinTech-Plattform bietet Hunderten von Banken und Millionen von Kunden eine breite Palette digitaler Bankdienstleistungen an. Die API-Sicherheitslücke ermöglicht die administrative Übernahme von Konten (Account Takeover, ATO). Böswillige Akteure hätten die Schwachstelle nutzen können, um Angriffe zu starten, und
- administrativen Zugriff auf das Bankensystem zu erlangen
- Zugriff auf die Bankdaten und Finanztransaktionen der Benutzer zu erhalten,
- persönliche Daten der Nutzer auszuspähen und
- unerlaubte Überweisungen auf die Bankkonten der Angreifer vornehmen zu können.
Die SSRF-Schwachstelle war bereits aktiv in zahlreiche Systeme des FinTech-Unternehmens integriert und hatte das Potenzial, alle Benutzerkonten und Transaktionsdaten der Kundenbanken zu gefährden. Nach der Entdeckung der Schwachstelle befolgte Salt Labs koordinierte Offenlegungspraktiken. Sämtliche Probleme wurden inzwischen behoben. Der Missbrauch auf dieser Plattform hätte es Angreifern ermöglichen können, die Bankkonten und Gelder von Millionen von Nutzern zu kontrollieren – was zu erheblichen finanziellen Verlusten, Diebstahl, Betrug und Rufschädigung geführt hätte.
Laut dem Salt Security State of API Security Report, Q1 2022 gab es bei 95 Prozent der Unternehmen in den letzten zwölf Monaten einen API-Sicherheitsvorfall. Weitere Untersuchungen ergaben, dass der kompromittierende API-Verkehr im selben Zeitraum erheblich zugenommen hat (681 Prozent). Die API-Systeme von FinTech- und Finanzdienstleistern sind riesig. Kunden, Banken und Kreditgenossenschaften verlassen sich auf APIs, um Interaktionen über ein kompliziertes Netzwerk von Websites, mobilen Anwendungen, benutzerdefinierten Integrationen, Webhooks und mehr zu steuern. In diesem Fall konnten die Forscher von Salt Labs eine Reihe solcher externer Interaktionen, die Eingabewerte, wie z. B. URL-Werte erfordern, leicht manipulieren – was letztlich zur Entdeckung von SSRF führte. Software- und API-Entwickler sollten besonders auf benutzergesteuerte Eingabewerte achten und die Validieren sowie die Verhaltenserkennung hinzufügen, um Daten vor SSRF-Angriffen zu schützen.
“Moderne Bankanwendungen sind ständigen Angriffen ausgesetzt, doch APIs bleiben aus Security-Sicht ein zu wenig beachteter Teil der veränderten Angriffsfläche. Die Abwehr von API-Angriffen erfordert bessere Sicherheitstools, die die subtilen Sondierungsaktivitäten böswilliger Akteure auf der Suche nach Schwachstellen in der Business-Logik erkennen können”, sagt Roey Eliyahu, CEO und Mitbegründer von Salt Security. “Unserer Erfahrung nach sind die meisten Unternehmen schlecht auf die Abwehr von API-Angriffen vorbereitet, da herkömmliche Sicherheitstools wie Web Application Firewalls (WAFs) und API-Gateways API-Manipulationen nicht erkennen können. Die Folgen können schwerwiegend sein und sowohl monetäre als auch Reputationsschädigung nach sich ziehen.”
Der vollständige Bericht sollte hier verfügbar sein.
https://salt.security/