Веб-приложения с небезопасными прямыми ссылками на объекты (IDOR, Insecure direct object references) подвергаются значительным рискам взлома, предупреждают специалисты Агентства по кибербезопасности и защите инфраструктуры США (CISA), совместно с Австралийским центром кибербезопасности (ACSC) и Агентством национальной безопасности США (АНБ).
К проблемам IDOR относятся недостатки в веб-приложениях (или приложениях, использующих уязвимые веб-API), которые позволяют злоумышленникам получать доступ к конфиденциальным данным и манипулировать ими, напрямую ссылаясь на внутренние объекты или ресурсы. То есть уязвимое веб-приложение может неправильно проверять доступ пользователя к определенным ресурсам, включая файлы, базы данных или учетные записи.
В итоге IDOR-уязвимости могут привести к несанкционированному доступу и утечке данных из-за неправильной валидации input’а и авторизации, что позволит атакующим получить доступ к ресурсам, на использование которых у них не должно быть прав.
CISA, ACSC и АНБ предупредили поставщиков, проектировщиков, разработчиков и организации, которые используют веб-приложения, о необходимости защитить свои системы от IDOR-уязвимостей. Специалисты подчеркивают, что такие проблемы часто используются злоумышленниками в инцидентах с утечками данных и ведут к компрометации личной, финансовой и медицинской информации миллионов людей.
Так, разработчикам веб-приложений рекомендуется использовать принципам secure-by-design-and-default, при написании кода помнить о безопасности (например, нормализации и проверке input’а, использовать CAPTCHA), проводить анализ и тестирование кода с использованием автоматизированных средств, а также обучать персонал безопасной разработке ПО.
Организациям и конечным пользователям, в свою очередь, следует выбирать веб-приложения, которые демонстрируют приверженность принципы secure-by-design-and-default, как можно быстрее применять патчи, настраивать приложения для обнаружения и оповещения о попытках несанкционированного доступа, а также регулярно проводить пентесты и поиск уязвимостей для обеспечения безопасности своих веб-приложений.
В своем отчете эксперты приводят примеры того, как IDOR-уязвимости в прошлом приводили к массовым утечкам данных. Так, в 2021 году была обнаружена крупная утечка, связанная со сталкерским ПО которое передавало собранные данные на серверы, подверженные IDOR-уязвимости CVE-2022-0732. Тогда доступны всем желающим оказались текстовые сообщения, записи звонков, фотографии и информация о геолокации сотен тысяч мобильных устройств.
Другая утечка в 2019 году затронула организацию First American Financial Corp., в результате чего оказались раскрыты более 800 млн конфиденциальных финансовых файлов, включая банковские выписки, номера банковских счетов и документы, связанные с выплатой ипотеки.