Агенції з кібербезпеки застерігають від IDOR-вразливостей, які використовуються для витоку даних

Агентства з кібербезпеки Австралії та США опублікували спільну рекомендацію, яка попереджає про недоліки безпеки у веб-додатках, що можуть бути використані зловмисниками для організації інцидентів з витоком даних та крадіжки конфіденційних даних.

Сюди входить особливий клас багів під назвою Insecure Direct Object Reference (IDOR) – тип помилки контролю доступу, який виникає, коли додаток використовує введені користувачем дані або ідентифікатор для прямого доступу до внутрішнього ресурсу, наприклад, до запису в базі даних, без будь-яких додаткових перевірок.

Типовим прикладом IDOR є можливість користувача тривіально змінити URL-адресу (наприклад, https://example[.]site/details.php?id=12345), щоб отримати несанкціоновані дані іншої транзакції (наприклад, https://example[.]site/details.php?id=67890).

“IDOR-вразливості – це вразливості контролю доступу, які дозволяють зловмисникам змінювати або видаляти дані або отримувати доступ до конфіденційних даних, надсилаючи запити до веб-сайту або програмного інтерфейсу веб-додатків (API) із зазначенням ідентифікатора користувача інших дійсних користувачів”, – зазначають агентства. “Ці запити успішно виконуються, якщо не виконується належна перевірка автентичності та авторизації”.

Автори доповіді – Австралійський центр кібербезпеки (ACSC) Австралійського директорату зв’язку, Агентство кібербезпеки і безпеки інфраструктури США (CISA) і Агентство національної безпеки США (АНБ) – зазначили, що такі недоліки використовуються зловмисниками для компрометації особистої, фінансової та медичної інформації мільйонів користувачів і споживачів.

Щоб зменшити такі загрози, постачальникам, дизайнерам і розробникам рекомендується застосовувати принципи безпеки за замовчуванням, а також забезпечувати перевірку автентичності та авторизації програмного забезпечення для кожного запиту на зміну, видалення та доступ до конфіденційних даних.

Ця рекомендація з’явилася через кілька днів після того, як CISA опублікував аналіз даних, зібраних в результаті оцінки ризиків і вразливостей (ОВР), проведеної в різних федеральних цивільних органах виконавчої влади (FCEB), а також у пріоритетних операторах критичної інфраструктури приватного і державного секторів.