Lego Group se ha movido rápidamente para corregir un par de vulnerabilidades de seguridad de la interfaz de programación de aplicaciones (API) que existían en su plataforma de reventa digital BrickLink, luego de que Salt Labs, el brazo de investigación del especialista en API Salt Security, las identificara.
Con más de un millón de miembros, BrickLink es el foro más grande del mundo para comprar y vender juegos de Lego de segunda mano. Sustanciales sumas de dinero cambian de manos a través del servicio estilo eBay, con kits atractivos, como el Expreso de Hogwarts de Lego’s. harry potter las series a menudo se venden por cerca de su precio minorista original. El período de vacaciones es un momento particularmente ocupado para el servicio, especialmente cuando llega el momento de entregar regalos duplicados.
Los investigadores de Salt descubrieron las dos vulnerabilidades cuando examinaron partes del sitio de BrickLink que admiten campos de entrada de usuario. Específicamente, el cuadro de diálogo “Buscar nombre de usuario” de la vulnerabilidad de búsqueda de cupones de BrickLink contenía una vulnerabilidad de secuencias de comandos en sitios cruzados (XSS), utilizada por actores malintencionados para inyectar y ejecutar código en la máquina de una víctima si siguen un enlace especialmente diseñado.
El equipo de investigación encadenó esta ID de sesión de vulnerabilidad expuesta en una página diferente para secuestrar la sesión de la víctima y hacerse cargo de su cuenta. Tales tácticas podrían haberse utilizado para la toma de control total de la cuenta y para robar datos de los usuarios.
La segunda vulnerabilidad existía en la página “Subir a la lista de buscados” de BrickLink, que permite a los usuarios agregar juegos de Lego que tienen en mente a una lista de observación. El equipo de Salt pudo ejecutar lo que se conoce como un ataque de inyección de entidad externa (XXE) de lenguaje de marcado extensible (XML), en el que un analizador XML mal configurado procesa una entrada XML que contiene una referencia a una entidad externa.
De esta manera, descubrieron que podían leer archivos en el servidor web de BrickLink y ejecutar otro ataque de falsificación del lado del servidor (SSRF). Se puede abusar de estos ataques de varias maneras, por ejemplo, para robar tokens de AWS EC2. En términos sencillos, un actor de amenazas podría haberse apoderado de los servidores internos de Lego.
“Hoy, casi todos los sectores comerciales han aumentado el uso de las API para habilitar nuevas funciones y optimizar la conexión entre los consumidores y los datos y servicios vitales”, dijo Yaniv Balmas, vicepresidente de investigación de Salt Security.
“Como resultado, las API se han convertido en uno de los vectores de ataque más grandes y significativos para obtener acceso a los sistemas de la empresa y los datos de los usuarios. A medida que las organizaciones escalan rápidamente, muchas desconocen el gran volumen de riesgos y vulnerabilidades de seguridad de API que existen dentro de sus plataformas, lo que deja a las empresas y sus datos valiosos expuestos a los malos actores”.
De hecho, en un informe reciente sobre el tema, Salt descubrió que sus clientes habían experimentado un aumento del 117 % en el tráfico de ataques de API, mientras que su tráfico de API general creció un 168 %. Un total del 94 % de los encuestados en la encuesta subyacente dijeron que habían experimentado problemas de seguridad en las API de producción, y el 54 % tuvo que retrasar la implementación de una aplicación debido a tales preocupaciones.
La mayoría del 61 % dijo que carecían de una estrategia de seguridad de API o que solo tenían un plan básico, y el 82 % estaba preocupado porque las herramientas tradicionales no son muy efectivas para prevenir los ataques de API. La propia Salt aboga por un enfoque que incorpore el aprendizaje automático (ML) y la inteligencia artificial (IA).
La tendencia de crecimiento ha visto un número cada vez mayor de incidentes de alto perfil relacionados con el tráfico de API este año, incluido el reciente ataque a la empresa de telecomunicaciones australiana Optus, que vio nombres, direcciones, fechas de nacimiento, números de teléfono, direcciones de correo electrónico, licencia de conducir y pasaporte. datos relacionados con 11 millones de clientes robados y retenidos, un incidente tan grave en su alcance que el gobierno australiano ahora planea modificar sus regulaciones de seguridad de telecomunicaciones.
La violación de Optus comenzó a través de una API desprotegida y expuesta públicamente a la que cualquiera que se topara con ella podría haberse conectado sin credenciales.
La historia de Lego, sin embargo, tiene un final más feliz. En este caso, el equipo de investigación de Salt reveló las vulnerabilidades a través de una divulgación coordinada, y los problemas ahora se remediaron y no deberían representar una amenaza adicional para las hordas de constructores emocionados durante las vacaciones.