研究人員發(fā)現(xiàn)，一個大型的金融技術(Fintech)平臺的API中的一個服務器端請求偽造(SSRF)漏洞有可能會危及數(shù)百萬銀行賬戶的安全，攻擊者能夠通過控制客戶的銀行賬戶和資金進行犯罪。

研究人員在周四發(fā)表的一份報告中披露，Salt Security的Salt Labs團隊在一個支持該組織平臺資金轉(zhuǎn)移功能的網(wǎng)頁中的API中發(fā)現(xiàn)了這個漏洞，該功能允許客戶將其平臺上的賬戶中的錢轉(zhuǎn)移到他們的銀行賬戶內(nèi)。

該公司被稱為 "Acme Fintech"，為各種規(guī)模的銀行提供 "數(shù)字轉(zhuǎn)型" 服務，并允許這些機構(gòu)將傳統(tǒng)的銀行服務轉(zhuǎn)換為在線服務。研究人員說，目前該平臺已被整合到許多銀行的系統(tǒng)中，因此它擁有數(shù)百萬的每日活躍用戶。

如果該漏洞被攻擊者所利用，那么攻擊者可能通過該平臺來獲得對銀行系統(tǒng)的管理權限從而進行各種違法的活動。研究人員說，他們可以從那里泄露用戶的個人數(shù)據(jù)，訪問銀行的詳細資料和金融交易，并在未授權的情況下向自己的銀行賬戶轉(zhuǎn)賬。

他們說，在發(fā)現(xiàn)該漏洞后，研究人員調(diào)查復現(xiàn)了他們的發(fā)現(xiàn)并向該組織提供了很好的緩解措施。

威脅攻擊者的高額回報

API中的漏洞經(jīng)常會被忽視，但Salt實驗室的研究人員在報告中說，他們每天都會看到像這樣的漏洞以及其他與API有關的漏洞。

事實上，根據(jù)該公司2022年第一季度的API安全狀況報告，5%的組織在過去的12個月中經(jīng)歷了眾多API安全事件。他們說，這一時期可以看出惡意的API流量在大幅增長。

Salt Security的研究人員在一份新聞聲明中說，關鍵的SSRF漏洞在許多金融科技供應商和銀行機構(gòu)內(nèi)普遍存在。API攻擊正在變得越來越頻繁和復雜。

研究人員說，金融科技公司特別容易受到攻擊，因為他們的客戶和合作伙伴需要依靠龐大的API網(wǎng)絡來實現(xiàn)各種網(wǎng)站、移動應用程序和定制集成系統(tǒng)之間的互動。

研究人員寫道，這反過來又使他們成為了 "API漏洞的攻擊者的主要攻擊目標"，原因有二。

第一，他們的API整體功能非常豐富和復雜，這就意味著在開發(fā)中可能會出現(xiàn)錯誤或者忽略一些細節(jié)。第二，如果一個攻擊者能夠成功地濫用這種類型的平臺，那么它潛在的利潤是巨大的，因為它可能會控制數(shù)百萬用戶的銀行賬戶和資金。

漏洞詳情

研究人員在掃描和記錄該組織網(wǎng)站上發(fā)送和接收的所有流量時發(fā)現(xiàn)了這個漏洞。在一個連接客戶在各家銀行之間進行轉(zhuǎn)賬的頁面上，研究人員發(fā)現(xiàn)瀏覽器所調(diào)用的處理請求的API有問題。

這個API使用的是位于'/workflows/tasks/{TASK_GUID}/values'的端點，調(diào)用它的HTTP方法是PUT方法，而具體的請求數(shù)據(jù)是在HTTP正文部分發(fā)送的。

請求體還攜帶了一個JWT令牌，這是一個加密簽名的密鑰，可以讓服務器知道誰是請求用戶以及他有哪些權限。

研究人員解釋說，該漏洞存在于發(fā)送資金轉(zhuǎn)移所需數(shù)據(jù)的請求參數(shù)中，特別是一個名為 "InstitutionURL "的參數(shù)，這是一個需要用戶提供的值。

在這種情況下，銀行的網(wǎng)絡服務器通過訪問URL本身來處理用戶提供的URL，如果它被插入到代碼中，那么它會允許SSRF中的網(wǎng)絡服務器調(diào)用任意一個URL。

SSRF漏洞的研究

研究人員通過偽造一個包含他們自己域名的惡意請求來復現(xiàn)這個漏洞。他們寫道，向他們服務器發(fā)送的連接請求是成功的，這證明了服務器會盲目地信任通過這個參數(shù)所提供給它的域名，并同時向該URL發(fā)出請求。

此外，進入他們服務器還需要包含一個用于認證的JWT令牌，但是這個令牌與原始請求中的令牌不同。

研究人員將新的JWT令牌嵌入到了他們之前遇到的一個名為"/accounts/account "的端點請求中，該請求允許他們從一個銀行賬戶中檢索信息。他們說，這一次他們返回了更多的用戶信息。

研究人員透露，API端點識別了我們新的JWT管理令牌，并返回了整個平臺的每個用戶及其詳細信息的列表。

他們說，用新的令牌再次嘗試請求一個名為"/transactions/transactions "的端點，結(jié)果也允許他們訪問銀行系統(tǒng)中的每個用戶的交易列表。

研究人員說，這是一個非常致命的漏洞，它完全侵害了每個銀行用戶的權益。如果攻擊者發(fā)現(xiàn)了這個漏洞，他們可能會對該組織和其用戶造成嚴重的損害。

Balmas說，Salt實驗室希望，API漏洞的出現(xiàn)將會繼續(xù)激勵安全從業(yè)者更加仔細的研究他們的系統(tǒng)如何避免受到這種方式的攻擊。

本文翻譯自：https://threatpost.com/ssrf-flaw-fintech-bank-accounts/179247/如若轉(zhuǎn)載，請注明原文地址。