研究人员发现,大型金融技术(Fintech)平台API中的服务器端请求伪造(SSRF)漏洞有可能危及数百万银行账户的安全,攻击者能够通过控制客户的银行账户和资金来实施犯罪。在周四发布的一份报告中,研究人员透露,SaltSecurity的SaltLabs团队在一个网页中的API中发现了漏洞,该API为该组织平台的资金转账功能提供支持,该功能允许客户将账户从他们在平台上的账户转移到他们的账户中银行账户。该公司被称为“AcmeFintech”,为各种规模的银行提供“数字化转型”服务,并允许这些机构将传统银行服务转换为在线服务。研究人员表示,该平台目前已集成到许多银行的系统中,因此每天有数百万活跃用户。如果该漏洞被攻击者利用,攻击者可以利用该平台获取银行系统的管理权限,进行各种非法活动。研究人员表示,他们可以从那里窃取用户的个人数据、访问银行详细信息和金融交易,并向他们自己的银行账户进行未经授权的转账。他们说,在发现该漏洞后,研究人员进行了调查以复制他们的发现,并为该组织提供了良好的缓解措施。API中的漏洞经常被忽视,但SaltLabs的研究人员报告说,他们每天都会看到像这样的漏洞以及其他与API相关的漏洞。事实上,根据该公司发布的2022年第一季度API安全状况报告,5%的组织在过去12个月中经历了多起API安全事件。他们说,这段时间恶意API流量显着增加。SaltSecurity的研究人员在一份新闻声明中表示,严重的SSRF漏洞在许多金融科技供应商和银行机构中普遍存在。API攻击变得越来越频繁和复杂。研究人员表示,金融科技公司特别容易受到攻击,因为他们的客户和合作伙伴依赖庞大的API网络来实现各种网站、移动应用程序和自定义集成系统之间的交互。研究人员写道,这反过来又使它们成为“具有API漏洞的攻击者的主要目标”,原因有二。首先,他们的API整体功能非常丰富和复杂,这意味着在开发过程中可能会出现错误或忽略一些细节。其次,如果攻击者能够成功滥用此类平台,潜在的利润是巨大的,因为它有可能控制数百万用户的银行账户和资金。漏洞详情研究人员在扫描和记录该组织网站上发送和接收的所有流量时发现了该漏洞。在连接客户以在银行之间转账的页面上,研究人员发现浏览器调用的用于处理请求的API存在问题。该API使用位于'/workflows/tasks/{TASK_GUID}/values'的端点,调用它的HTTP方法是PUT方法,具体的请求数据在HTTP文本部分发送。请求主体还携带一个JWT令牌,这是一个加密签名的密钥,让服务器知道请求用户是谁以及他有什么权限。研究人员解释说,该漏洞存在于发送资金转移所需数据的请求参数中,特别是一个名为“InstitutionURL”的参数,这是一个需要用户提供的值。在这种情况下,银行的Web服务器通过访问URL本身来处理用户提供的URL,如果将其插入代码,则SSRF中的Web服务器可以调用任何URL。研究SSRF漏洞的研究人员通过伪造包含他们自己的域名的恶意请求来重现该漏洞。他们写道,对他们服务器的连接请求成功,证明服务器盲目信任通过此参数提供给它的域名,同时向该URL发出请求。此外,访问他们的服务器还包括用于身份验证的JWT令牌,但此令牌与原始请求中的令牌不同。研究人员将新的JWT令牌嵌入到他们之前遇到的名为“/accounts/account”的端点请求中,这使他们能够从银行账户中检索信息。这一次,他们说,他们返回了更多的用户信息。研究人员透露,API端点识别了我们新的JWT管理令牌,并返回了平台上每个用户及其详细信息的列表。他们表示,另一种尝试使用新令牌请求名为“/transactions/transactions”的端点结果也允许他们访问银行系统中每个用户的交易列表。研究人员表示,这是一个非常致命的漏洞,完全侵犯了每一位银行用户的权益。如果攻击者发现此漏洞,他们可能会对组织及其用户造成严重损害。Balmas说,SaltLabs希望API漏洞的出现将继续激励安全从业者仔细研究如何以这种方式保护他们的系统免受攻击。本文翻译自:https://threatpost.com/ssrf-flaw-fintech-bank-accounts/179247/如有转载请注明出处。
