Des chercheurs découvrent une faille majeure dans la plate-forme bancaire qui pourrait affecter des millions de personnes
Une équipe de recherche en cybersécurité a découvert une vulnérabilité importante dans une plateforme de services financiers qui a déjà été implémentée dans un grand nombre de systèmes bancaires.
L'équipe de Salt Labs a découvert une faille majeure dans l'API utilisée par la plateforme financière. L'exploit était une falsification de requête côté serveur ou SSRF. Si elle avait été exploitée avec succès, la faille aurait pu conduire à une catastrophe potentielle, permettant aux acteurs de la menace de vider les comptes bancaires de millions d'utilisateurs.
Une faille pourrait permettre aux pirates d'accéder à l'administrateur
La faille a été découverte dans une page contenant une fonctionnalité permettant aux clients de la plate-forme de services financiers de transférer de l'argent de leurs portefeuilles de plate-forme vers leurs comptes bancaires.
La société qui possède et contrôle la plate-forme de services financiers n'a pas été nommée, mais est décrite comme offrant des services permettant aux banques de passer de la banque traditionnelle à la banque en ligne. Selon l'équipe de recherche de Salt Labs, des millions de personnes utilisent actuellement cette plateforme.
Le problème découvert était suffisamment important pour pouvoir donner aux acteurs potentiels de la menace un accès administrateur à la banque qui a choisi de mettre en œuvre la plate-forme en question. Une fois qu'un tel niveau d'accès privilégié est obtenu,le ciel est la limite. Les pirates auraient pu en abuser de plusieurs manières, allant de l'épuisement des comptes clients au vol de leurs informations personnelles identifiables et à l'accès aux informations sur les transactions passées.
La vulnérabilité a été découverte alors que les chercheurs surveillaient le trafic sur le site Web de l'entreprise anonyme. Là, ils ont intercepté une faille au sein de l'API appelée par le navigateur pour traiter les requêtes.
Mauvaise gestion des paramètres à l'origine de la faille
L'exploit permettait d'insérer du code dans un paramètre de la page, puis de faire en sorte que l'API contacte la nouvelle URL de domaine arbitraire au lieu de celle fournie par l'institution bancaire utilisant la plate-forme.
Preuve de la vulnérabilité, Salt Labs a trafiqué une mauvaise demande, remplaçant le domaine de l'institution bancaire par le sien, puis recevant la connexion de son côté. En bref, cela prouve que le serveur ne vérifie jamais la chaîne de domaine et "fait confiance" à tout ce qu'il reçoit dans le paramètre InstitutionURL, ce qui permet la falsification.
Selon l'équipe de recherche, les failles et les vulnérabilités résidant dans les API sont généralement négligées, même si elles peuvent être abondantes dans la mer des API qui sont activement utilisées.