ไม่กี่วันที่ผ่านมา ช่องโหว่ถูกเปิดเผยใน Coursera แพลตฟอร์มหลักสูตรออนไลน์ยอดนิยม และนั่นคือปัญหาที่เขามีอยู่ใน API ดังนั้น เป็นที่เชื่อกันว่าเป็นไปได้มากที่แฮ็กเกอร์อาจใช้ช่องโหว่ "BOLA" ในทางที่ผิด เพื่อทำความเข้าใจการตั้งค่าหลักสูตรของผู้ใช้ รวมทั้งบิดเบือนตัวเลือกหลักสูตรของผู้ใช้
นอกจากนี้ ยังเชื่อด้วยว่าช่องโหว่ที่เพิ่งเปิดเผยเมื่อเร็วๆ นี้ อาจมีการเปิดเผยข้อมูลผู้ใช้ก่อนที่จะมีการซ่อมแซม เหล่านี้ ข้อบกพร่องถูกค้นพบโดยนักวิจัยจาก บริษัททดสอบความปลอดภัยของแอปพลิเคชัน เครื่องหมายถูก และเผยแพร่ในช่วงสัปดาห์ที่ผ่านมา
ช่องโหว่ เกี่ยวข้องกับอินเทอร์เฟซการเขียนโปรแกรมแอปพลิเคชัน Coursera ที่หลากหลาย และนักวิจัยได้ตัดสินใจเจาะลึกความปลอดภัยของ Coursera เนื่องจากความนิยมที่เพิ่มขึ้นผ่านการเปลี่ยนมาใช้งานและการเรียนรู้ออนไลน์เนื่องจากการแพร่ระบาดของ COVID-19
สำหรับผู้ที่ไม่คุ้นเคยกับ Coursera คุณควรรู้ว่านี่คือบริษัทที่มีผู้ใช้ 82 ล้านคนและทำงานร่วมกับบริษัทและมหาวิทยาลัยมากกว่า 200 แห่ง ความร่วมมือที่โดดเด่น ได้แก่ University of Illinois, Duke University, Google, University of Michigan, International Business Machines, Imperial College London, Stanford University และ University of Pennsylvania
พบปัญหา API ต่างๆ รวมถึงการนับผู้ใช้ / บัญชีผ่านคุณสมบัติการรีเซ็ตรหัสผ่าน ขาดทรัพยากรที่จำกัดทั้ง GraphQL API และ REST และการกำหนดค่า GraphQL ที่ไม่ถูกต้อง โดยเฉพาะอย่างยิ่ง ปัญหาการอนุญาตระดับออบเจ็กต์ที่ใช้งานไม่ได้อยู่อันดับต้นๆ ของรายการ
เมื่อโต้ตอบกับเว็บแอปพลิเคชัน Coursera ในฐานะผู้ใช้ทั่วไป (นักเรียน) เราสังเกตเห็นว่าหลักสูตรที่ดูล่าสุดแสดงอยู่ในอินเทอร์เฟซผู้ใช้ เพื่อแสดงข้อมูลนี้ เราตรวจพบคำขอ API GET หลายรายการไปยังปลายทางเดียวกัน: /api/userPreferences.v1/[USER_ID-lex.europa.eu~[PREFERENCE_TYPE}
ช่องโหว่ BOLA API ถูกอธิบายว่าเป็นการตั้งค่าของผู้ใช้ที่ได้รับผลกระทบ การใช้ประโยชน์จากช่องโหว่นี้ แม้แต่ผู้ใช้ที่ไม่ระบุตัวตนก็สามารถเรียกค่ากำหนดได้ แต่ยังสามารถเปลี่ยนแปลงได้ ค่ากำหนดบางอย่าง เช่น หลักสูตรและใบรับรองที่ดูล่าสุด จะกรองข้อมูลเมตาบางส่วนออกด้วย ข้อบกพร่อง BOLA ใน API สามารถเปิดเผยปลายทางได้ ที่จัดการตัวระบุวัตถุ ซึ่งสามารถเปิดประตูสู่การโจมตีในวงกว้าง
«ช่องโหว่นี้อาจถูกนำไปใช้ในทางที่ผิดเพื่อทำความเข้าใจการตั้งค่าหลักสูตรของผู้ใช้ทั่วไปในวงกว้าง แต่ยังบิดเบือนตัวเลือกของผู้ใช้ในทางใดทางหนึ่ง เนื่องจากการจัดการกิจกรรมล่าสุดของพวกเขาส่งผลต่อเนื้อหาที่นำเสนอในหน้าแรกของ Coursera สำหรับบางกรณี ผู้ใช้” นักวิจัยอธิบาย
นักวิจัยกล่าวว่า "น่าเสียดายที่ปัญหาการอนุญาตนั้นพบได้บ่อยใน API" “มันสำคัญมากที่จะต้องรวมศูนย์การตรวจสอบการควบคุมการเข้าออกในส่วนประกอบเดียว ผ่านการทดสอบอย่างดี ทดสอบอย่างต่อเนื่อง และบำรุงรักษาอย่างแข็งขัน ตำแหน่งข้อมูล API ใหม่หรือการเปลี่ยนแปลงที่มีอยู่ควรได้รับการตรวจสอบอย่างรอบคอบโดยคำนึงถึงข้อกำหนดด้านความปลอดภัย "
นักวิจัยตั้งข้อสังเกตว่าปัญหาการอนุญาตนั้นพบได้บ่อยใน API และด้วยเหตุนี้จึงต้องรวมศูนย์การตรวจสอบการควบคุมการเข้าถึง การดำเนินการดังกล่าวต้องผ่านองค์ประกอบการบำรุงรักษาเพียงส่วนเดียวที่ได้รับการทดสอบมาเป็นอย่างดีและต่อเนื่อง
ช่องโหว่ที่ค้นพบถูกส่งไปยังทีมรักษาความปลอดภัยของ Coursera เมื่อวันที่ 5 ตุลาคม. การยืนยันว่าบริษัทได้รับรายงานและกำลังดำเนินการอยู่ในวันที่ 26 ตุลาคม จากนั้น Coursera ก็เขียน Cherkmarx โดยบอกว่าพวกเขาได้แก้ไขปัญหาในวันที่ 18 ธันวาคมถึง 2 มกราคม จากนั้น Coursera ก็ได้ส่งรายงานการทดสอบใหม่พร้อมปัญหาใหม่ ในที่สุด เมื่อวันที่ 24 พฤษภาคม Coursera ยืนยันว่าปัญหาทั้งหมดได้รับการแก้ไขแล้ว
นักวิจัยกล่าวว่าทีมรักษาความปลอดภัยของ Coursera รู้สึกยินดีเป็นอย่างยิ่งที่ได้ร่วมงานด้วย แม้ว่าจะใช้เวลาค่อนข้างนานจากการเปิดเผยไปจนถึงการแก้ไข
“ความเป็นมืออาชีพและความร่วมมือของพวกเขา เช่นเดียวกับความเป็นเจ้าของอย่างรวดเร็วที่พวกเขาคิดไว้ คือสิ่งที่เราตั้งตารอเมื่อมีส่วนร่วมกับบริษัทซอฟต์แวร์” พวกเขาสรุป
Fuente: https://www.checkmarx.com