Experti na bezpečnosť SonicWall vystavili milióny klientov hrozbe zneužitia ich programovacieho rozhrania. Opravu chyby zrejme urýchli až súkromná správa generálnemu riaditeľovi firmy.
Poskytovateľ kyberbezpečnostných služieb a produktov SonicWall nechal otvorené zadné vrátka vo svojich produktoch. Firma až dva týždne vedome nechala klientov vystavených riziku zneužitia programovacieho rozhrania (API) aplikácie na správu cloudových služieb. Už 13. augusta na bezpečnostnú dieru upozornil výskumník Vangelis Stykas zo spoločnosti Pen Test Partners (PTP). Podľa neho malo ísť o „triviálnu metódu na kompromitovanie každého jedného cloudovo spravovaného zariadenia pripojeného k mysonicwall.com.“ Chyba sa mohla dotknúť približne 500 tisíc organizácií, takmer 2 milióny používateľských skupín a minimálne 10 miliónov jednotlivých zariadení.
Zraniteľnosť spočívajúca v nezabezpečených priamych odkazoch na objekty (IDOR) sa nachádzala v používateľskom koncovom bode API globálneho systému riadenia (GMS), ktorý firma SonicWall vyvinula. Diera umožňovala útočníkovi voľnú manipuláciu s parametrom požiadaviek API, ktorý by mu zaručil neobmedzený prístup k ľubovoľným účtom či organizáciám. Záškodník by následne mohol pozmeniť pravidlá firewallu alebo presmerovať prepojenie na škodlivú VPN. Aj keď existenciu chyby SonicWall potvrdil už po zhruba 12 hodinách, bezprostredne ju nezaplátal. Veci sa pohli až po tom, čo Stykasov kolega o chybe napísal priamo CEO SonicWallu Billovi Connerovi. Paradoxne, krátko predtým samotný riaditeľ Conner v interview pre Infosecurity Magazine zdôraznil, aby sa organizácie zamerali na zabezpečenie koncových bodov a cloudových aplikácií.
V SonicWall odstránili chybu dva dni po informovaní generálneho riaditeľa, teda 28. augusta. Firma pre ochranu dobrého mena vydala aj vyhlásenie, kde poprela, že by sa hackeri mohli dostať do systému. „Pre akékoľvek zneužitie tejto zraniteľnosti by najskôr hacker musel získať špecifický ID vlastníka účtu (ktoré sú plne chránené a verejne neprístupné) a následne priradiť tento ID novému používateľovi,“ uvádza vo vyhlásení pre PTP SonicWall. Výskumník Sykas, ktorý na dieru upozornil, však tento argument označil za „nepresný a zavádzajúci“. ID používateľov podľa neho neboli ani dostatočne chránené, ani verejne neprístupné – inak by ich vraj neodhalil ani on. Okrem toho sú tieto identifikátory číslované za sebou, pre hackerov by preto nebolo zložité zistiť ich.
Zdroj: CS
