Pred nekaj dnevi ranljivost je bila razkrita v priljubljeni spletni platformi za tečaje Coursera in je, da je bil problem v API-ju, torej verjame se, da je zelo verjetno, da bi hekerji lahko zlorabili ranljivost "BOLA" za razumevanje nastavitev uporabniškega tečaja in zakrivitev možnosti uporabniškega tečaja.
Poleg tega se domneva tudi, da bi nedavno odkrite ranljivosti lahko razkrile uporabniške podatke pred popravilom. Te pomanjkljivosti so odkrili raziskovalci iz Ljubljane podjetje za testiranje varnosti aplikacij checkmarkx in objavljeni v zadnjem tednu.
Ranljivosti se nanašajo na različne programske vmesnike programa Coursera raziskovalci pa so se odločili, da se bodo poglobili v varnost Coursere zaradi vse večje priljubljenosti s prehodom na delo in spletno učenje zaradi pandemije COVID-19.
Za tiste, ki ne poznajo Coursere, morate vedeti, da gre za podjetje, ki ima 82 milijonov uporabnikov in sodeluje z več kot 200 podjetji in univerzami. Pomembna partnerstva vključujejo Univerzo v Illinoisu, Univerzo Duke, Google, Univerzo v Michiganu, International Business Machines, Imperial College London, Univerzo Stanford in Univerzo Pennsylvania.
Odkrite so bile različne težave z API-ji, vključno s štetjem uporabnikov / računov s funkcijo ponastavitve gesla, pomanjkanje virov, ki omejujejo GraphQL API in REST, ter nepravilna konfiguracija GraphQL. Na vrhu seznama je zlasti težava z dovoljenjem na ravni pokvarjenega predmeta.
Pri interakciji s spletno aplikacijo Coursera kot redni uporabniki (študenti) smo opazili, da so bili nedavno uporabljeni tečaji prikazani v uporabniškem vmesniku. Za predstavitev teh informacij zaznamo več zahtev API GET za isto končno točko: /api/userPreferences.v1/[USER_ID-lex.europa.eu~[PREFERENCE_TYPE}.
Ranljivost BOLA API je opisana kot prizadete uporabniške nastavitve. Izkoristili so ranljivost, tudi anonimni uporabniki so lahko pridobivali nastavitve, vendar jih tudi spreminjali. Nekatere nastavitve, kot so nedavno pregledani tečaji in certifikati, izločajo tudi nekatere metapodatke. Napake BOLA v API-jih lahko izpostavijo končne točke ki obdelujejo identifikatorje predmetov, kar bi lahko odprlo vrata širšim napadom.
«To ranljivost bi lahko zlorabili, da bi v velikem obsegu razumeli nastavitve tečaja splošnih uporabnikov, pa tudi, da bi na nek način izkrivili izbiro uporabnikov, saj je manipulacija njihove nedavne dejavnosti vplivala na vsebino, predstavljeno na domači strani Coursera, za določeno uporabnik, «pojasnjujejo raziskovalci.
"Na žalost so težave z avtorizacijo pri API-jih zelo pogoste," pravijo raziskovalci. »Zelo pomembno je, da validacije nadzora dostopa centraliziramo v eno samo komponento, dobro preizkušeno, stalno preizkušeno in aktivno vzdrževano. Nove končne točke API ali spremembe obstoječih je treba skrbno pregledati glede na njihove varnostne zahteve.
Raziskovalci so ugotovili, da so težave z avtorizacijo zelo pogoste pri API-jih in da je kot taka pomembno centralizirati preverjanje veljavnosti nadzora dostopa. To mora biti opravljeno z eno samo, dobro preizkušeno in tekočo komponento vzdrževanja.
Odkrite ranljivosti so bile 5. oktobra posredovane varnostni skupini podjetja Coursera. Potrditev, da je podjetje poročilo prejelo in je na njem delalo, je prišla 26. oktobra, Coursera pa je nato Cherkmarxu zapisala, da so težave rešili od 18. decembra do 2. januarja, nato pa je Coursera poslala poročilo o novem testu z novo težavo. Končno, 24. maja je Coursera potrdil, da so bile vse težave odpravljene.
Kljub precej dolgemu času od razkritja do popravka so raziskovalci dejali, da je bilo z ekipo za varnost Coursere v veselje delati.
"Pri sodelovanju s podjetji, ki se ukvarjajo s programsko opremo, se veselimo njihove strokovnosti in sodelovanja ter hitrega lastništva, ki so ga prevzeli," so zaključili.
vir: https://www.checkmarx.com