Známy poskytovateľ kyberbezpečnostných služieb a produktov SonicWall nechal otvorené zadné vrátka vo svojich produktoch. Firma až dva týždne vedome nechala klientov vystavených riziku zneužitia programovacieho rozhrania (API) aplikácie na správu cloudových služieb.
Už 13. augusta na bezpečnostnú dieru upozornil výskumník Vangelis Stykas zo spoločnosti Pen Test Partners (PTP). Podľa neho malo ísť o „triviálnu metódu na kompromitovanie každého jedného cloudovo spravovaného zariadenia pripojeného k mysonicwall.com.“
Chyba sa mohla dotknúť približne 500 tisíc organizácií, takmer 2 milióny užívateľských skupín a minimálne 10 miliónov jednotlivých zariadení.
I told you today is going to be strange... IDOR to expose half a million internal networks. 2 weeks to patch. The irony of using a firewall as a backdoor device from the cloud is GOLD https://t.co/dAGwOWdfBd
— Vangelis tix Stykas (@evstykas) September 2, 2020
Vodu káže, víno pije
Zraniteľnosť spočívajúca v nezabezpečených priamych odkazoch na objekty (IDOR) sa nachádzala v užívateľskom koncovom bode API globálneho systému riadenia (GMS), ktorý firma SonicWall vyvinula.
Diera umožňovala útočníkovi voľnú manipuláciu s parametrom požiadaviek API, ktorý by mu zaručil neobmedzený prístup k ľubovoľným účtom či organizáciám. Záškodník by následne mohol pozmeniť pravidlá firewallu alebo presmerovať prepojenie na škodlivú VPN.
Aj keď existenciu chyby SonicWall potvrdil už po zhruba 12 hodinách, bezprostredne ju nezaplátal. Veci sa pohli až po tom, čo Stykasov kolega o chybe napísal priamo CEO SonicWallu Billovi Connerovi.
Paradoxne, krátko predtým samotný riaditeľ Conner v interview pre Infosecurity Magazine zdôraznil, aby sa organizácie zamerali na zabezpečenie koncových bodov a cloudových aplikácií.
Kto nehovorí pravdu?
V SonicWall odstránili chybu dva dni po informovaní generálneho riaditeľa, teda 28. augusta. Firma pre ochranu dobrého mena vydala aj vyhlásenie, kde poprela, že by sa hackeri mohli dostať do systému.
„Pre akékoľvek zneužitie tejto zraniteľnosti by najskôr hacker musel získať špecifický ID vlastníka účtu (ktoré sú plne chránené a verejne neprístupné) a následne priradiť tento ID novému používateľovi,“ uvádza vo vyhlásení pre PTP SonicWall.
Výskumník Sykas, ktorý na dieru upozornil, však tento argument označil za „nepresný a zavádzajúci“. ID užívateľov podľa neho neboli ani dostatočne chránené, ani verejne neprístupné – inak by ich vraj neodhalil ani on. Okrem toho sú tieto identifikátory číslované za sebou, pre hackerov by preto nebolo zložité zistiť ich.
Kristína Žaková