Muutama päivä sitten haavoittuvuus paljastettiin suositulla Coursera-verkkokurssialustalla ja että hänen ongelmansa oli API: ssa, joten uskotaan, että on hyvin mahdollista, että hakkerit ovat voineet käyttää väärin BOLA-haavoittuvuutta ymmärtää käyttäjien kurssimääritykset ja vääristää käyttäjän kurssivaihtoehtoja.
Lisäksi uskotaan, että äskettäin paljastuneet haavoittuvuudet saattavat paljastaa käyttäjätietoja ennen niiden korjaamista. Nämä tutkijat löysivät puutteita sovellusten tietoturvatestausyritys Valintamerkki ja julkaistu viime viikolla.
Haavoittuvuudet liittyvät moniin Coursera-sovellusten ohjelmointirajapintoihin ja tutkijat päättivät syventyä Courseran turvallisuuteen johtuen sen kasvavasta suosiosta siirtymällä työhön ja verkkokoulutukseen COVID-19-pandemian vuoksi.
Niille, joille Coursera ei ole tuttu, sinun on tiedettävä, että tämä on yritys, jolla on 82 miljoonaa käyttäjää ja joka työskentelee yli 200 yrityksen ja yliopiston kanssa. Merkittäviä kumppanuuksia ovat Illinoisin yliopisto, Duke University, Google, Michiganin yliopisto, International Business Machines, Imperial College London, Stanfordin yliopisto ja Pennsylvanian yliopisto.
Löydettiin erilaisia sovellusliittymäongelmia, mukaan lukien käyttäjän / tilin lukeminen salasanan palautustoiminnon kautta, resurssien puute rajoittaa sekä GraphQL-sovellusliittymää että REST: ää ja väärä GraphQL-määritys. Erityisesti rikkoutuneen objektitason valtuutusongelma on luettelon kärjessä.
Vuorovaikutuksessa Coursera-verkkosovelluksen kanssa tavallisena käyttäjänä (opiskelijana) huomasimme, että äskettäin katsotut kurssit näkyivät käyttöliittymässä. Tämän tiedon esittämiseksi havaitsemme useita API GET -pyyntöjä samalle päätepisteelle: /api/userPreferences.v1/[USER_ID-lex.europa.eu~~PREFERENCE_TYPE}.
BOLA-sovellusliittymän haavoittuvuus kuvataan käyttäjän vaikuttamiksi. Hyödyntämällä haavoittuvuutta jopa nimettömät käyttäjät pystyivät hakemaan asetuksia, mutta myös muuttamaan niitä. Jotkin asetuksista, kuten äskettäin katsotut kurssit ja sertifikaatit, suodattavat myös joitain metatietoja. API: n BOLA-puutteet voivat paljastaa päätepisteitä jotka käsittelevät objektitunnisteita, mikä voi avata oven laajemmille hyökkäyksille.
«Tätä heikkoutta olisi voitu käyttää väärin ymmärtämään yleisten käyttäjien kurssi-asetuksia laajasti, mutta myös vääristämään käyttäjien valintoja jollain tavalla, koska heidän viimeaikaisen toimintansa manipulointi vaikutti Coursera-kotisivulla esitettyyn sisältöön käyttäjä ”, tutkijat selittävät.
"Valitettavasti valtuutusongelmat ovat melko yleisiä sovellusliittymien kanssa", tutkijat sanovat. "On erittäin tärkeää keskittää kulunvalvonnan validoinnit yhteen komponenttiin, joka on testattu hyvin, testattu jatkuvasti ja jota ylläpidetään aktiivisesti. Uudet sovellusliittymän päätepisteet tai muutokset olemassa oleviin on tarkistettava huolellisesti niiden turvallisuusvaatimusten mukaisesti.
Tutkijat totesivat, että valtuutusongelmat ovat melko yleisiä sovellusliittymien kanssa ja että sinänsä on tärkeää keskittää kulunvalvonnan validoinnit. Tämän on tapahduttava yhden, hyvin testatun ja jatkuvan huoltokomponentin kautta.
Löydetyt haavoittuvuudet toimitettiin Courseran tietoturvaryhmälle 5. lokakuuta. Vahvistus siitä, että yritys sai raportin ja työskenteli sen kanssa, tuli 26. lokakuuta, ja Coursera kirjoitti myöhemmin Cherkmarxille sanomalla, että he olivat ratkaisseet ongelmat 18. joulukuuta - 2. tammikuuta, ja Coursera lähetti sitten raportin uudesta testistä, jossa oli uusi ongelma. Lopuksi, Coursera vahvisti 24. toukokuuta, että kaikki ongelmat oli korjattu.
Huolimatta melko pitkästä aikaa paljastamisesta korjaamiseen tutkijoiden mukaan Courseran turvallisuusryhmä oli ilo työskennellä.
"Odotamme heidän ammattitaitoaan ja yhteistyötään sekä nopeaa omistustaan ottaessamme yhteyttä ohjelmistoyritysten kanssa", he totesivat.
lähde: https://www.checkmarx.com