Ekspert pracujący dla F-Secure znalazł dwie poważne podatności w oprogramowaniu używanym przez banki i instytucje finansowe. Dzięki lukom osoba atakująca może uzyskać uprawnienia na poziomie administratora i wykonać swoje polecenia.
Podatności występują w interfejsie API Connect firmy IBM używanym przez wiele instytucji finansowych. API stosowane jest np. o obsługi klientów pomiędzy systemami bankowymi albo bankami na mocy dyrektywy unijnej PSD2. Dyrektywa PSD2 oprócz zwiększenia poziomu bezpieczeństwa na rynku usług płatniczych ma także na celu umożliwienie działania w obszarze usług bankowych czy finansowych podmiotom innym niż banki. Stąd podatności w API mogą mieć wpływ na bezpieczeństwo nie tylko klientów banków. Jeśli „złośliwemu aktorowi” udałoby się uzyskać dostęp do API, to mógłby zakłócić pracę systemów.
Pierwsza luka CVE-2019-4203 została sklasyfikowana jako atak SSRF (Server-Side Request Forgery). Jego pomyślne wykonanie mogłoby umożliwić atakującemu uzyskać dostęp do systemów bankowych.
Druga luka CVE-2019-4202 dotyczy zdalnego wykonania kodu (Remote Code Execution) i znajduje się w interfejsie REST API. Jak wyjaśnia ekspert, organizacje zazwyczaj blokują żądania REST API z otwartego internetu na przykład za pomocą zapory. Wykorzystując wspomnianą wcześniej lukę CVE-2019-4202 atakujący może dotrzeć do podatnego na atak API REST z Internetu. Dzięki pomyślnemu wykorzystaniu obu luk możliwe jest zdalne wykonanie poleceń z uprawnieniami roota w systemie.
F-Secure wyjaśnia, że przed atakami można się zabezpieczyć. Banki powinny wykorzystywać w swoich wewnętrznych i zewnętrznych systemach wyłącznie szyfrowane połączenia TLS (TLS może odbierać połączenia również w postaci nieszyfrowanej). Zmniejsza to ryzyko wykonania zdalnego kodu. Dodatkowo liczne luki w protokołach szyfrowania TLS powinny zmusić szczególnie instytucje bankowe do wykorzystywania wyłącznie najnowszych wersji protokołów.
Firma IBM zaktualizowała już swoje oprogramowanie. Należy je jeszcze wdrożyć po stronie systemów, na których jest uruchomione.
Szczegóły o lukach są dostępne na stronie F-Secure oraz w biuletynie IBM poświęconemu lukom (CVE-2019-4202 oraz CVE-2019-4203).
