Prieš kelias dienas pažeidžiamumas buvo atskleistas populiarioje internetinių kursų platformoje „Coursera“ ir kad problema, kurią jis turėjo, buvo API, taigi manoma, kad labai gali būti, kad hakeriai galėjo piktnaudžiauti pažeidžiamumu „BOLA“ suprasti naudotojų kursų nuostatas ir iškreipti vartotojo kurso parinktis.
Be to, kad taip pat manoma, kad neseniai atskleistos spragos galėjo atskleisti vartotojo duomenis prieš juos taisant. Šie trūkumų atrado tyrėjai iš programų saugos testavimo įmonė „Checkmarx“ ir paskelbta per praėjusią savaitę.
Pažeidžiamumas susijusios su įvairiomis „Coursera“ programų programavimo sąsajomis ir tyrėjai nusprendė įsigilinti į „Coursera“ saugumą dėl vis didėjančio populiarumo pereinant prie darbo ir mokymosi internetu dėl COVID-19 pandemijos.
Tiems, kurie nėra susipažinę su „Coursera“, turėtumėte žinoti, kad tai yra įmonė, turinti 82 milijonus vartotojų ir dirbanti su daugiau nei 200 įmonių ir universitetų. Žymios partnerystės yra Ilinojaus universitetas, Duke'o universitetas, „Google“, Mičigano universitetas, Tarptautinio verslo mašinos, Londono imperatoriškasis koledžas, Stanfordo universitetas ir Pensilvanijos universitetas.
Aptikta įvairių API problemų, įskaitant vartotojo / paskyros surašymą naudojant slaptažodžio nustatymo iš naujo funkciją, išteklių trūkumas, ribojantis „GraphQL API“ ir „REST“, ir neteisinga „GraphQL“ konfigūracija. Visų pirma, sąrašo viršuje yra sugedęs objekto lygio autorizacijos klausimas.
Bendraudami su „Coursera“ internetine programa kaip nuolatiniai vartotojai (studentai) pastebėjome, kad vartotojo sąsajoje buvo rodomi neseniai peržiūrėti kursai. Norėdami pateikti šią informaciją, aptinkame kelias API GET užklausas tam pačiam tikslui: /api/userPreferences.v1/[USER_ID-lex.europa.eu~~PREFERENCE_TYPE}.
BOLA API pažeidžiamumas apibūdinamas kaip paveiktos vartotojo nuostatos. Pasinaudoję pažeidžiamumu, net ir anoniminiai vartotojai galėjo gauti nuostatas, bet ir jas pakeisti. Kai kurios nuostatos, tokios kaip neseniai peržiūrėti kursai ir sertifikatai, taip pat filtruoja kai kuriuos metaduomenis. BOLA API trūkumai gali atskleisti galinius taškus kurie tvarko objekto identifikatorius, o tai gali atverti duris į platesnes atakas.
«Šiuo pažeidžiamumu galėjo būti piktnaudžiaujama, kad būtų galima plačiai suprasti bendrųjų vartotojų kurso nuostatas, taip pat tam tikru būdu pakreipti vartotojų pasirinkimą, nes manipuliavimas jų naujausia veikla paveikė pagrindiniame„ Coursera “puslapyje pateiktą turinį konkrečiai vartotojas “, - aiškina tyrėjai.
„Deja, su API susijusios autorizacijos problemos yra gana dažnos“, - sako tyrėjai. „Labai svarbu centralizuoti prieigos kontrolės patvirtinimus viename komponente, gerai patikrintame, nuolat tikrinamame ir aktyviai prižiūrimame. Nauji API galiniai taškai arba esamų pakeitimai turėtų būti kruopščiai peržiūrėti atsižvelgiant į jų saugos reikalavimus. "
Tyrėjai pažymėjo, kad autorizacijos problemos yra gana dažnos API ir kad dėl to svarbu centralizuoti prieigos kontrolės patvirtinimus. Tai reikia atlikti naudojant vieną, gerai patikrintą ir nuolatinį priežiūros komponentą.
Aptikti pažeidžiamumai buvo pateikti „Coursera“ saugos komandai spalio 5 d. Patvirtinimas, kad bendrovė gavo pranešimą ir dirba su juo, buvo spalio 26 d., O vėliau „Coursera“ parašė „Cherkmarx“ sakydama, kad jie išsprendė problemas nuo gruodžio 18 d. Iki sausio 2 d., O „Coursera“ išsiuntė ataskaitą apie naują bandymą su nauja problema. Pagaliau, Gegužės 24 d. „Coursera“ patvirtino, kad visi klausimai buvo išspręsti.
Nepaisant gana ilgo laiko tarpo nuo informacijos atskleidimo iki pataisymo, mokslininkai teigė, kad su „Coursera“ saugumo komanda buvo malonu dirbti.
„Jų profesionalumas ir bendradarbiavimas, taip pat greitas nuosavybės prisiėmimas yra tai, ko mes laukiame bendradarbiaudami su programinės įrangos įmonėmis“, - apibendrino jie.
Fuente: https://www.checkmarx.com