Salt Security deckt kritische API-Sicherheitslücke einer FinTech-Plattform auf, die Hunderte von Banken bedient

Salt Labs identifiziert die Sicherheitslücke Server-Side Request Forgery (SSRF) in einer digitalen Banking-Plattform, die für unbefugte Geldtransfers und die Offenlegung von persönlichen Daten und Finanztransaktionsdaten der Nutzer hätte verwendet werden können.

Salt Security, Anbieter von API-Sicherheit, veröffentlicht heute den neuen API-Schwachstellen-Bericht von Salt Labs, in der ein Server-Side Request Forgery (SSRF)-Fehler in der digitalen Plattform eines US-amerikanischen FinTech-Unternehmens entdeckt wurde. Die FinTech-Plattform bietet Hunderten von Banken und Millionen von Kunden eine breite Palette digitaler Bankdienstleistungen an. Die API-Sicherheitslücke ermöglicht die administrative Übernahme von Konten (Account Takeover, ATO). Böswillige Akteure hätten die Schwachstelle nutzen können, um Angriffe zu starten, und

• administrativen Zugriff auf das Bankensystem zu erlangen
• Zugriff auf die Bankdaten und Finanztransaktionen der Benutzer zu erhalten,
• persönliche Daten der Nutzer auszuspähen und
• unerlaubte Überweisungen auf die Bankkonten der Angreifer vornehmen zu können.

Die SSRF-Schwachstelle war bereits aktiv in zahlreiche Systeme des FinTech-Unternehmens integriert und hatte das Potenzial, alle Benutzerkonten und Transaktionsdaten der Kundenbanken zu gefährden. Nach der Entdeckung der Schwachstelle befolgte Salt Labs koordinierte Offenlegungspraktiken. Sämtliche Probleme wurden inzwischen behoben. Der Missbrauch auf dieser Plattform hätte es Angreifern ermöglichen können, die Bankkonten und Gelder von Millionen von Nutzern zu kontrollieren – was zu erheblichen finanziellen Verlusten, Diebstahl, Betrug und Rufschädigung geführt hätte.

„Es gibt weit mehr kritische SSRF-Schwachstellen als vielen FinTech-Anbietern und Bankinstituten bewusst ist. Hätten böswillige Akteure diese Schwachstelle entdeckt, hätten sie allen Beteiligten schweren finanziellen Schaden zufügen können“, sagte Yaniv Balmas, VP of Research, Salt Security. „API-Angriffe werden immer häufiger und komplexer. Unsere Forscher in den Salt Labs entdecken jeden Tag kritische Schwachstellen, die Unternehmen gefährden können. Mit der Untersuchung dieser möglichen Bedrohungen wollen wir Sicherheitsexperten kontinuierlich über potenzielle Schwachstellen in ihren Systemen aufklären.“

Laut dem Salt Security State of API Security Report, Q1 2022 gab es bei 95 Prozent der Unternehmen in den letzten zwölf Monaten einen API-Sicherheitsvorfall. Weitere Untersuchungen ergaben, dass der kompromittierende API-Verkehr im selben Zeitraum erheblich zugenommen hat (681 Prozent). Die API-Systeme von FinTech- und Finanzdienstleistern sind riesig. Kunden, Banken und Kreditgenossenschaften verlassen sich auf APIs, um Interaktionen über ein kompliziertes Netzwerk von Websites, mobilen Anwendungen, benutzerdefinierten Integrationen, Webhooks und mehr zu steuern. In diesem Fall konnten die Forscher von Salt Labs eine Reihe solcher externer Interaktionen, die Eingabewerte, wie z. B. URL-Werte erfordern, leicht manipulieren – was letztlich zur Entdeckung von SSRF führte. Software- und API-Entwickler sollten besonders auf benutzergesteuerte Eingabewerte achten und die Validieren sowie die Verhaltenserkennung hinzufügen, um Daten vor SSRF-Angriffen zu schützen.

„Moderne Bankanwendungen sind ständigen Angriffen ausgesetzt, doch APIs bleiben aus Security-Sicht ein zu wenig beachteter Teil der veränderten Angriffsfläche. Die Abwehr von API-Angriffen erfordert bessere Sicherheitstools, die die subtilen Sondierungsaktivitäten böswilliger Akteure auf der Suche nach Schwachstellen in der Business-Logik erkennen können“, sagt Roey Eliyahu, CEO und Mitbegründer von Salt Security. „Unserer Erfahrung nach sind die meisten Unternehmen schlecht auf die Abwehr von API-Angriffen vorbereitet, da herkömmliche Sicherheitstools wie Web Application Firewalls (WAFs) und API-Gateways API-Manipulationen nicht erkennen können. Die Folgen können schwerwiegend sein und sowohl monetäre als auch Reputationsschädigung nach sich ziehen.“

Die Salt Security API Protection Platform adressiert die Arten von Schwachstellen, die aus mangelhaften API-Implementierungen und den in der OWASP API Top 10-Liste aufgeführten Angriffen resultieren, einschließlich Sicherheitsfehlkonfiguration und SSRF. Als erste und einzige API-Sicherheitslösung analysiert die Salt Security-Platform mit Hilfe von Cloud-basierter Big Data Technologie, künstlicher Intelligenz (KI) und maschinellem Lernen (ML) die Aktivitäten von Millionen von Nutzern und API-Aufrufen, um die Aktivitäten böswilliger Akteure zu erkennen und sie zu blockieren, bevor sie ihr Ziel erreichen können. Durch ihre einzigartige API Context Engine (ACE)-Architektur schützt die API Protection Platform APIs über die gesamte Erstellungs-, Bereitstellungs- und Laufzeitphase hinweg. Kontinuierlich werden alle APIs erkannt, sensible Daten identifiziert, die sie preisgeben sowie API-Angreifer zuverlässig gestoppt. Außerdem liefert die Salt Security-Platform während der gesamten Laufzeit Erkenntnisse zum Beheben von Schwachstellen, die Entwickler nutzen können, um APIs sicherer zu machen.

Der vollständige SSRF-Schwachstellenbericht, einschließlich der Vorgehensweise von Salt Labs bei der Untersuchung und Schritte zur Schadensbegrenzung, ist hier verfügbar.

Wenn Sie mehr über Salt Security und die Salt Plattform erfahren oder eine Demo anfordern möchten, besuchen Sie bitte https://content.salt.security/demo.html.