Fa pocs dies es va donar a conèixer una vulnerabilitat a la popular plataforma de cursos en línia Coursera i és que el problema que va tenir radic a l'API, de manera que es creu que és molt possible que hackers podrien haver abusat de la vulnerabilitat «BOLA» per comprendre les preferències de curs dels usuaris, així com per esbiaixar les opcions de curs d'un usuari.
A més que també es creu que les vulnerabilitats revelades recentment podrien haver exposat les dades de l'usuari abans de ser reparades. Aquests fallades van ser descobertes per investigadors de l'empresa de proves de seguretat d'aplicacions Checkmarx i publicades durant la setmana passada.
les vulnerabilitats es relacionen amb una varietat d'interfícies de programació d'aplicacions de Coursera i els investigadors van decidir aprofundir en la seguretat de Coursera a causa de la seva creixent popularitat a través del canvi a la feina i l'aprenentatge en línia a causa de la pandèmia de COVID-19.
Pels qui desconeixen de Coursera, han de saber que aquesta és una empresa que té 82 milions d'usuaris i treballa amb més de 200 empreses i universitats. Les associacions notables inclouen la Universitat d'Illinois, la Universitat de Duke, Google, la Universitat de Michigan, International Business Machines, l'Imperial College London, la Universitat de Stanford i la Universitat de Pennsylvania.
Es van descobrir diversos problemes d'API, inclosa l'enumeració d'usuari/compte mitjançant la funció de restabliment de contrasenya, la manca de recursos que limiten tant l'API GraphQL com la REST, i una configuració incorrecta de GraphQL. En particular, un problema d'autorització de nivell d'objecte trencat encapçala la llista.
En interactuar amb l'aplicació web de Coursera com a usuaris habituals (estudiants), notem que els cursos vistos recentment es mostraven a la interfície d'usuari. Per representar aquesta informació, detectem diverses sol·licituds d'API GET al mateix punt final: /api/userPreferences.v1/{USER_ID}~{PREFERENCE_TYPE}.
La vulnerabilitat de l'API BOLA es descriu com a preferències de l'usuari afectat. Aprofitant la vulnerabilitat, fins i tot els usuaris anònims van poder recuperar les preferències, però també canviar-les. Algunes de les preferències, com els cursos i les certificacions vists recentment, també filtren algunes metadades. Les falles de BOLA a les API poden exposar punts finals que manegen identificadors d'objectes, cosa que podria obrir la porta a atacs més amplis.
«Aquesta vulnerabilitat es podria haver abusat per comprendre les preferències de cursos dels usuaris generals a gran escala, però també per esbiaixar d'alguna manera les eleccions dels usuaris, ja que la manipulació de la seva activitat recent va afectar el contingut presentat a la pàgina inicial de Coursera per a un usuari específic», expliquen els investigadors.
«Desafortunadament, els problemes d'autorització són força comuns amb les API», diuen els investigadors. «És molt important centralitzar les validacions de control d?accés en un sol component, ben provat, contínuament provat i mantingut activament. Els nous punts finals d'API, o els canvis als existents, s'han de revisar amb cura respecte dels requisits de seguretat».
Els investigadors van notar que els problemes dautorització són força comuns amb les API i que, com a tal, és important centralitzar les validacions de control daccés. Fer-ho ha de ser mitjançant un component únic, ben provat i de manteniment continu.
Les vulnerabilitats descobertes es van enviar a l'equip de seguretat de Coursera el 5 d'octubre. La confirmació que la companyia va rebre l'informe i estava treballant-hi es va produir el 26 d'octubre, i Coursera li va escriure posteriorment a Cherkmarx dient que havien resolt els problemes el 18 de desembre fins al 2 de gener i Coursera després va enviar un informe de nova prova amb un nou problema. Finalment, el 24 de maig, Coursera va confirmar que tots els problemes estaven solucionats.
Tot i el termini força llarg des de la divulgació fins a la correcció, els investigadors van dir que va ser un plaer treballar amb l'equip de seguretat de Coursera.
"El seu professionalisme i cooperació, així com la ràpida propietat que van assumir, és el que esperem quan ens relacionem amb empreses de programari", van concloure.
font: https://www.checkmarx.com