Novas orientações do Australian Cyber Security Center (ACSC), da US Cybersecurity and Infrastructure Security Agency (CISA) e da National Security Agency (NSA) alertam desenvolvedores, fornecedores e organizações sobre vulnerabilidades de controle de acesso em aplicativos da web.
Descritos como problemas inseguros de referência direta de objetos (IDOR), eles permitem que os agentes de ameaças leiam ou adulterem dados confidenciais por meio de solicitações de interface de programação de aplicativos (API) que incluem o identificador de um usuário válido.
Essas solicitações são bem-sucedidas porque a autenticação ou autorização do usuário que faz a solicitação não é devidamente validada, explicam os três órgãos.
vulnerabilidades IDOR, as notas de orientaçãopermitem que os usuários acessem dados que não deveriam ser capazes de acessar no mesmo nível de privilégio ou em um nível de privilégio mais alto, quando o usuário pode modificar ou excluir dados que não deveria, ou quando o usuário acessa uma função que deveria não ser capaz de.
As falhas podem ser desencadeadas pela modificação dos dados do campo do formulário HTML no corpo de uma solicitação POST, pela modificação de identificadores em URLs ou cookies para os identificadores de outros usuários ou pela interceptação e modificação de solicitações legítimas usando proxies da web.
“Essas vulnerabilidades são frequentemente exploradas por agentes mal-intencionados em incidentes de violação de dados porque são comuns, difíceis de prevenir fora do processo de desenvolvimento e podem ser abusadas em grande escala. As vulnerabilidades do IDOR resultaram no comprometimento de informações pessoais, financeiras e de saúde de milhões de usuários e consumidores”, afirmam ACSC, CISA e NSA.
Para evitar a prevalência de falhas de controle de acesso e dados confidenciais seguros, os fornecedores, designers e desenvolvedores de aplicativos da Web são aconselhados a implementar princípios seguros por design e seguros por padrão, garantindo que cada solicitação para acessar ou modificar dados seja devidamente autenticado e autorizado.
Eles podem usar ferramentas automatizadas para identificar e lidar com vulnerabilidades de IDOR, podem contar com mapas de referência indireta para evitar a exposição de IDs, nomes e chaves em URLs e devem examinar todas as bibliotecas e estruturas de terceiros que incluem em seus aplicativos.
As organizações de usuários finais, incluindo aquelas que oferecem software como serviço (SaaS), também devem examinar os aplicativos da Web que selecionarem, seguir as práticas recomendadas para o gerenciamento de riscos da cadeia de suprimentos e aplicar os patches disponíveis em tempo hábil.
As organizações que implantam software local, nuvem privada ou infraestrutura como serviço (IaaS) são aconselhadas a avaliar as verificações de autenticação e autorização disponíveis em aplicativos da Web e a realizar verificações regulares de vulnerabilidade e testes de penetração para proteger os ativos voltados para a Internet.