Pochi giorni fa una vulnerabilità è stata rivelata nella popolare piattaforma di corsi online Coursera ed è che il problema che aveva era nell'API, quindi si ritiene che sia molto probabile che gli hacker abbiano abusato della vulnerabilità "BOLA" per comprendere le preferenze del corso degli utenti, nonché per distorcere le opzioni del corso di un utente.
Inoltre, si ritiene anche che le vulnerabilità rivelate di recente possano aver esposto i dati degli utenti prima di essere riparate. Questi difetti sono stati scoperti dai ricercatori di la società di test di sicurezza delle applicazioni Check Marx e pubblicato la scorsa settimana.
Vulnerabilità riguardano una varietà di interfacce di programmazione delle applicazioni Coursera e i ricercatori hanno deciso di approfondire la sicurezza di Coursera grazie alla sua crescente popolarità passando al lavoro e all'apprendimento online a causa della pandemia di COVID-19.
Per chi non conosce Coursera, sappiate che si tratta di un'azienda che ha 82 milioni di utenti e lavora con più di 200 aziende e università. Partnership degne di nota includono l'Università dell'Illinois, la Duke University, Google, l'Università del Michigan, International Business Machines, l'Imperial College di Londra, la Stanford University e l'Università della Pennsylvania.
Sono stati scoperti vari problemi API tra cui l'enumerazione utente/account tramite la funzione di reimpostazione della password, mancanza di risorse che limitano sia l'API GraphQL che REST e la configurazione GraphQL errata. In particolare, un problema di autorizzazione a livello di oggetto interrotto è in cima all'elenco.
Interagendo con l'applicazione web Coursera come utenti regolari (studenti), abbiamo notato che i corsi visualizzati di recente venivano visualizzati nell'interfaccia utente. Per rappresentare queste informazioni, rileviamo più richieste API GET allo stesso endpoint: /api/userPreferences.v1/[USER_ID-lex.europa.eu~[PREFERENCE_TYPE}.
La vulnerabilità dell'API BOLA è descritta come preferenze dell'utente interessato. Sfruttando la vulnerabilità, anche gli utenti anonimi sono riusciti a recuperare le preferenze, ma anche a modificarle. Alcune delle preferenze, come i corsi e le certificazioni visualizzati di recente, filtrano anche alcuni metadati. I difetti BOLA nelle API possono esporre gli endpoint che gestiscono identificatori di oggetti, che potrebbero aprire la porta ad attacchi più ampi.
“Si sarebbe potuto abusare di questa vulnerabilità per comprendere le preferenze di corso degli utenti generici su larga scala, ma anche per distorcere in qualche modo le scelte degli utenti, poiché la manipolazione della loro attività recente ha interessato i contenuti presentati sulla home page di Coursera per uno specifico utente ", spiegano i ricercatori.
"Sfortunatamente, i problemi di autorizzazione sono abbastanza comuni con le API", affermano i ricercatori. “È molto importante centralizzare le convalide del controllo degli accessi in un unico componente, ben testato, continuamente testato e mantenuto attivamente. I nuovi endpoint API o le modifiche a quelli esistenti dovrebbero essere attentamente esaminati rispetto ai loro requisiti di sicurezza. "
I ricercatori hanno notato che i problemi di autorizzazione sono abbastanza comuni con le API e che in quanto tali è importante centralizzare le convalide del controllo degli accessi. Ciò deve essere fatto attraverso un singolo componente di manutenzione ben testato e continuo.
Le vulnerabilità scoperte sono state inviate al team di sicurezza di Coursera il 5 ottobre. La conferma che la società ha ricevuto il rapporto e ci stava lavorando è arrivata il 26 ottobre, e Coursera ha successivamente scritto a Cherkmarx dicendo che avevano risolto i problemi dal 18 dicembre al 2 gennaio e Coursera ha quindi inviato un rapporto di un nuovo test con un nuovo problema. Finalmente, Il 24 maggio, Coursera ha confermato che tutti i problemi sono stati risolti.
Nonostante il tempo abbastanza lungo dalla divulgazione alla correzione, i ricercatori hanno affermato che è stato un piacere lavorare con il team di sicurezza di Coursera.
"La loro professionalità e cooperazione, così come la rapida proprietà che hanno assunto, è ciò che attendiamo con impazienza quando ci impegniamo con le società di software", hanno concluso.
fonte: https://www.checkmarx.com