Los investigadores encuentran una falla importante en la plataforma bancaria que podría afectar a millones
Un equipo de investigación de ciberseguridad descubrió una importante vulnerabilidad en una plataforma de servicios financieros que ya se ha implementado en una gran cantidad de sistemas bancarios.
El equipo de Salt Labs descubrió una falla importante en la API utilizada por la plataforma financiera. El exploit fue una falsificación de solicitud del lado del servidor o SSRF. Si se hubiera explotado con éxito, la falla podría haber llevado a un desastre potencial, permitiendo a los actores de amenazas vaciar las cuentas bancarias de millones de usuarios.
La falla podría permitir el acceso de administrador a los piratas informáticos
La falla se descubrió en una página que contiene una funcionalidad que permite a los clientes de la plataforma de servicios financieros mover dinero de las billeteras de su plataforma a sus cuentas bancarias.
No se nombró a la empresa que posee y controla la plataforma de servicios financieros, pero se la describe como una que ofrece servicios que permiten a los bancos pasar de la banca tradicional a la banca en línea. Según el equipo de investigación de Salt Labs, actualmente hay millones de personas que usan esa plataforma.
El problema descubierto fue lo suficientemente significativo como para poder dar a los posibles actores de amenazas acceso de administrador al banco que eligió implementar la plataforma en cuestión. Una vez que se obtiene un nivel tan alto de acceso privilegiado,el cielo es el límite. Los piratas informáticos podrían haber abusado de esto de muchas maneras, desde vaciar las cuentas de los clientes hasta robar su información de identificación personal y acceder a información sobre transacciones pasadas.
La vulnerabilidad se descubrió mientras los investigadores monitoreaban el tráfico en el sitio web de la empresa no identificada. Allí, interceptaron una falla dentro de la API invocada por el navegador para atender las solicitudes.
Mal manejo de parámetros en la raíz de la falla
El exploit permitía insertar código dentro de un parámetro en la página y luego hacer que la API contactara la nueva URL de dominio arbitraria en lugar de la proporcionada por la institución bancaria que utiliza la plataforma.
Como prueba de la vulnerabilidad, Salt Labs manipuló una solicitud incorrecta, reemplazó el dominio de la institución bancaria con el suyo propio y luego recibió la conexión de su parte. En resumen, esto demostró que el servidor nunca verifica la cadena de dominio y "confía" en todo lo que recibe en el parámetro InstitutionURL, lo que permite la manipulación.
Según el equipo de investigación, las fallas y vulnerabilidades que residen en las API suelen pasarse por alto, aunque pueden ser abundantes en el mar de API que se utilizan activamente.