研究人員發現，一個大型的金融技術(Fintech)平臺的API中的一個服務器端請求偽造(SSRF)漏洞有可能會危及數百萬銀行賬戶的安全，攻擊者能夠通過控制客戶的銀行賬戶和資金進行犯罪。

研究人員在周四發表的一份報告中披露，Salt Security的Salt Labs團隊在一個支持該組織平臺資金轉移功能的網頁中的API中發現了這個漏洞，該功能允許客戶將其平臺上的賬戶中的錢轉移到他們的銀行賬戶內。

該公司被稱為 "Acme Fintech"，為各種規模的銀行提供 "數字轉型" 服務，并允許這些機構將傳統的銀行服務轉換為在線服務。研究人員說，目前該平臺已被整合到許多銀行的系統中，因此它擁有數百萬的每日活躍用戶。

如果該漏洞被攻擊者所利用，那么攻擊者可能通過該平臺來獲得對銀行系統的管理權限從而進行各種違法的活動。研究人員說，他們可以從那里泄露用戶的個人數據，訪問銀行的詳細資料和金融交易，并在未授權的情況下向自己的銀行賬戶轉賬。

他們說，在發現該漏洞后，研究人員調查復現了他們的發現并向該組織提供了很好的緩解措施。

威脅攻擊者的高額回報

API中的漏洞經常會被忽視，但Salt實驗室的研究人員在報告中說，他們每天都會看到像這樣的漏洞以及其他與API有關的漏洞。

事實上，根據該公司2022年第一季度的API安全狀況報告，5%的組織在過去的12個月中經歷了眾多API安全事件。他們說，這一時期可以看出惡意的API流量在大幅增長。

Salt Security的研究人員在一份新聞聲明中說，關鍵的SSRF漏洞在許多金融科技供應商和銀行機構內普遍存在。API攻擊正在變得越來越頻繁和復雜。

研究人員說，金融科技公司特別容易受到攻擊，因為他們的客戶和合作伙伴需要依靠龐大的API網絡來實現各種網站、移動應用程序和定制集成系統之間的互動。

研究人員寫道，這反過來又使他們成為了 "API漏洞的攻擊者的主要攻擊目標"，原因有二。

第一，他們的API整體功能非常豐富和復雜，這就意味著在開發中可能會出現錯誤或者忽略一些細節。第二，如果一個攻擊者能夠成功地濫用這種類型的平臺，那么它潛在的利潤是巨大的，因為它可能會控制數百萬用戶的銀行賬戶和資金。

漏洞詳情

研究人員在掃描和記錄該組織網站上發送和接收的所有流量時發現了這個漏洞。在一個連接客戶在各家銀行之間進行轉賬的頁面上，研究人員發現瀏覽器所調用的處理請求的API有問題。

這個API使用的是位于'/workflows/tasks/{TASK_GUID}/values'的端點，調用它的HTTP方法是PUT方法，而具體的請求數據是在HTTP正文部分發送的。

請求體還攜帶了一個JWT令牌，這是一個加密簽名的密鑰，可以讓服務器知道誰是請求用戶以及他有哪些權限。

研究人員解釋說，該漏洞存在于發送資金轉移所需數據的請求參數中，特別是一個名為 "InstitutionURL "的參數，這是一個需要用戶提供的值。

在這種情況下，銀行的網絡服務器通過訪問URL本身來處理用戶提供的URL，如果它被插入到代碼中，那么它會允許SSRF中的網絡服務器調用任意一個URL。

SSRF漏洞的研究

研究人員通過偽造一個包含他們自己域名的惡意請求來復現這個漏洞。他們寫道，向他們服務器發送的連接請求是成功的，這證明了服務器會盲目地信任通過這個參數所提供給它的域名，并同時向該URL發出請求。

此外，進入他們服務器還需要包含一個用于認證的JWT令牌，但是這個令牌與原始請求中的令牌不同。

研究人員將新的JWT令牌嵌入到了他們之前遇到的一個名為"/accounts/account "的端點請求中，該請求允許他們從一個銀行賬戶中檢索信息。他們說，這一次他們返回了更多的用戶信息。

研究人員透露，API端點識別了我們新的JWT管理令牌，并返回了整個平臺的每個用戶及其詳細信息的列表。

他們說，用新的令牌再次嘗試請求一個名為"/transactions/transactions "的端點，結果也允許他們訪問銀行系統中的每個用戶的交易列表。

研究人員說，這是一個非常致命的漏洞，它完全侵害了每個銀行用戶的權益。如果攻擊者發現了這個漏洞，他們可能會對該組織和其用戶造成嚴重的損害。

Balmas說，Salt實驗室希望，API漏洞的出現將會繼續激勵安全從業者更加仔細的研究他們的系統如何避免受到這種方式的攻擊。

本文翻譯自：https://threatpost.com/ssrf-flaw-fintech-bank-accounts/179247/如若轉載，請注明原文地址。