Poważne luki w IBM API Connect używanym przez instytucje finansowe

7 maja 2019

Ekspert pracujący dla F-Secure znalazł dwie poważne podatności w oprogramowaniu używanym przez banki i instytucje finansowe. Dzięki lukom osoba atakująca może uzyskać uprawnienia na poziomie administratora i wykonać swoje polecenia.

Podatności występują w interfejsie API Connect firmy IBM używanym przez wiele instytucji finansowych. API stosowane jest np. o obsługi klientów pomiędzy systemami bankowymi albo bankami na mocy dyrektywy unijnej PSD2. Dyrektywa PSD2 oprócz zwiększenia poziomu bezpieczeństwa na rynku usług płatniczych ma także na celu umożliwienie działania w obszarze usług bankowych czy finansowych podmiotom innym niż banki. Stąd podatności w API mogą mieć wpływ na bezpieczeństwo nie tylko klientów banków. Jeśli „złośliwemu aktorowi” udałoby się uzyskać dostęp do API, to mógłby zakłócić pracę systemów.

Pierwsza luka CVE-2019-4203 została sklasyfikowana jako atak SSRF (Server-Side Request Forgery). Jego pomyślne wykonanie mogłoby umożliwić atakującemu uzyskać dostęp do systemów bankowych.

Druga luka CVE-2019-4202 dotyczy zdalnego wykonania kodu (Remote Code Execution) i znajduje się w interfejsie REST API. Jak wyjaśnia ekspert, organizacje zazwyczaj blokują żądania REST API z otwartego internetu na przykład za pomocą zapory. Wykorzystując wspomnianą wcześniej lukę CVE-2019-4202 atakujący może dotrzeć do podatnego na atak API REST z Internetu. Dzięki pomyślnemu wykorzystaniu obu luk możliwe jest zdalne wykonanie poleceń z uprawnieniami roota w systemie.

F-Secure wyjaśnia, że przed atakami można się zabezpieczyć. Banki powinny wykorzystywać w swoich wewnętrznych i zewnętrznych systemach wyłącznie szyfrowane połączenia TLS (TLS może odbierać połączenia również w postaci nieszyfrowanej). Zmniejsza to ryzyko wykonania zdalnego kodu. Dodatkowo liczne luki w protokołach szyfrowania TLS powinny zmusić szczególnie instytucje bankowe do wykorzystywania wyłącznie najnowszych wersji protokołów.

Firma IBM zaktualizowała już swoje oprogramowanie. Należy je jeszcze wdrożyć po stronie systemów, na których jest uruchomione.

Szczegóły o lukach są dostępne na stronie F-Secure oraz w biuletynie IBM poświęconemu lukom (CVE-2019-4202 oraz CVE-2019-4203).

PODZIEL SIĘ:

Share on facebook
Share on twitter
Share on linkedin
Share on email
AUTOR: Adrian Ścibor
Redaktor prowadzący AVLab.pl i CheckLab.pl.
guest
0 komentarzy
Inline Feedbacks
View all comments

Newsletter

BĄDŹ ZAWSZE NA BIEŻĄCO!

Newsletter

ZAPISZ SIĘ NA POWIADOMIENIA
BĄDŹ ZAWSZE NA BIEŻĄCO!
zapisz się

Bitdefender GravityZone Webinarium

Dowiedz się, co eksperci mówią o GravityZone

POLECANE PRODUKTY

YUBIKEY

Klucze zabezpieczające

100% ochrony przed phishingiem

Newsletter

BĄDŹ ZAWSZE NA BIEŻĄCO!

Newsletter

ZAPISZ SIĘ NA POWIADOMIENIA
BĄDŹ ZAWSZE NA BIEŻĄCO!
zapisz się

Newsletter

BĄDŹ ZAWSZE NA BIEŻĄCO!

Newsletter

ZAPISZ SIĘ NA POWIADOMIENIA E-MAIL I ZAWSZE BĄDŹ NA BIEŻĄCO!
zapisz się

POLECANE PRODUKTY

YUBICO

Klucze zabezpieczające

SILNE UWIERZYTELNIANIE DWUSKŁADNIKOWE, WIELOSKŁADNIKOWE I BEZ HASŁA

Bitdefender GravityZone Webinarium

Dowiedz się, co eksperci mówią o GravityZone