Poważne luki w IBM API Connect używanym przez instytucje finansowe

7 maja, 2019

Ekspert pracujący dla F-Secure znalazł dwie poważne podatności w oprogramowaniu używanym przez banki i instytucje finansowe. Dzięki lukom osoba atakująca może uzyskać uprawnienia na poziomie administratora i wykonać swoje polecenia.

Podatności występują w interfejsie API Connect firmy IBM używanym przez wiele instytucji finansowych. API stosowane jest np. o obsługi klientów pomiędzy systemami bankowymi albo bankami na mocy dyrektywy unijnej PSD2. Dyrektywa PSD2 oprócz zwiększenia poziomu bezpieczeństwa na rynku usług płatniczych ma także na celu umożliwienie działania w obszarze usług bankowych czy finansowych podmiotom innym niż banki. Stąd podatności w API mogą mieć wpływ na bezpieczeństwo nie tylko klientów banków. Jeśli „złośliwemu aktorowi” udałoby się uzyskać dostęp do API, to mógłby zakłócić pracę systemów.

Pierwsza luka CVE-2019-4203 została sklasyfikowana jako atak SSRF (Server-Side Request Forgery). Jego pomyślne wykonanie mogłoby umożliwić atakującemu uzyskać dostęp do systemów bankowych.

Druga luka CVE-2019-4202 dotyczy zdalnego wykonania kodu (Remote Code Execution) i znajduje się w interfejsie REST API. Jak wyjaśnia ekspert, organizacje zazwyczaj blokują żądania REST API z otwartego internetu na przykład za pomocą zapory. Wykorzystując wspomnianą wcześniej lukę CVE-2019-4202 atakujący może dotrzeć do podatnego na atak API REST z Internetu. Dzięki pomyślnemu wykorzystaniu obu luk możliwe jest zdalne wykonanie poleceń z uprawnieniami roota w systemie.

F-Secure wyjaśnia, że przed atakami można się zabezpieczyć. Banki powinny wykorzystywać w swoich wewnętrznych i zewnętrznych systemach wyłącznie szyfrowane połączenia TLS (TLS może odbierać połączenia również w postaci nieszyfrowanej). Zmniejsza to ryzyko wykonania zdalnego kodu. Dodatkowo liczne luki w protokołach szyfrowania TLS powinny zmusić szczególnie instytucje bankowe do wykorzystywania wyłącznie najnowszych wersji protokołów.

Firma IBM zaktualizowała już swoje oprogramowanie. Należy je jeszcze wdrożyć po stronie systemów, na których jest uruchomione.

Szczegóły o lukach są dostępne na stronie F-Secure oraz w biuletynie IBM poświęconemu lukom (CVE-2019-4202 oraz CVE-2019-4203).

Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

Czy ten artykuł był pomocny?

Kliknij na gwiazdkę, aby zagłosować!

Średnia ocena: 0 / 5. Liczba głosów: 0

Jak na razie nikt nie podzielił się opinią.

guest
0 komentarzy
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]