Falla de autorización de la API de GraphQL encontrada en una importante plataforma financiera B2B

La empresa de ciberseguridad Salt Labs descubrió una vulnerabilidad de autorización de API GraphQL en una gran plataforma de tecnología financiera B2B. Daría a los atacantes la capacidad de enviar transacciones no autorizadas contra las cuentas de los clientes y recopilar datos confidenciales, todo mediante la manipulación de llamadas API para robar datos confidenciales e iniciar transacciones no autorizadas.

Salt Labs no dijo qué empresa se vio afectada como una forma de proteger a los usuarios, pero explicó que las vulnerabilidades se han solucionado desde que se descubrieron. La plataforma ofrece servicios financieros en forma de aplicaciones móviles basadas en API y SaaS para pequeñas y medianas empresas y marcas comerciales, según Salt Labs.

Michael Isbitski, evangelista técnico de Salt Security, le dijo a MarketingyPublicidad.es que la adopción de la API de GraphQL es más lenta que la de REST, pero crece rápidamente debido a los beneficios potenciales para el diseño y el rendimiento de front-end.

Una encuesta reciente de Postman encontró que, si bien la mayoría de las empresas usan REST, GraphQL y otros como webhooks, WebSockets, GraphQL y SOAP están ganando terreno.

«Las fallas de autorización en las API son muy comunes, por lo que aparecen en la lista de los 10 principales en seguridad de API de OWASP», explicó Isbitski. «Este tipo de falla de autorización también es más probable que ocurra con las API GraphQL en lugar de las API REST solo por la naturaleza de cómo se puede usar GraphQL para combinar llamadas API y mutar consultas».

Salt Labs identificó esta vulnerabilidad en la plataforma SaaS de la empresa y las aplicaciones móviles con las que interactúa, como resultado de la falla en la implementación correcta de las verificaciones de autorización. Los investigadores descubrieron que algunas llamadas a la API podían acceder a un punto final de la API que no requería autenticación, lo que permitía a los atacantes ingresar cualquier identificador de transacción y recuperar registros de datos de transacciones financieras anteriores.

La compañía dijo que las API de GraphQL son «inherentemente difíciles de asegurar» debido a su flexibilidad y estructura únicas.

El CEO de Salt Security, Roey Eliyahu, dijo que GraphQL ofrece algunas ventajas en las opciones de consulta en comparación con las API REST, pero esta flexibilidad conlleva riesgos. Una única llamada a la API puede incluir varias consultas independientes.

«Una vulnerabilidad frecuente relacionada con GraphQL es que los desarrolladores deben implementar la autorización en cada capa de una consulta GraphQL de varias capas para evitar ataques. Este efecto secundario aumenta la carga de los equipos de desarrollo y operaciones, y puede extender los plazos de entrega para aplicaciones con muchas API. puntos finales», escribieron los investigadores en un informe sobre el tema.

«También puede crear una situación que sea más vulnerable al error humano. Algunos puntos finales pueden olvidarse o no tratarse adecuadamente, lo que causa su propio conjunto de problemas en el futuro».

Los investigadores explicaron que la autenticación y la autorización en los diseños de aplicaciones móviles a menudo no funcionan o están ausentes porque los desarrolladores se centran en la usabilidad. Los ciberdelincuentes a menudo saben que las bases de código son administradas por diferentes equipos y buscan vulnerabilidades tanto en los clientes front-end como en los servicios back-end.

SSL o TLS suelen cifrar las comunicaciones de la API web, dando a las empresas la sensación de que están protegidas cuando, en muchos casos, puede que no lo estén.

«La suposición predominante en la industria en torno a GraphQL es que estas API son objetivos de ataque oscuros y poco comunes y, por lo tanto, más seguras», dijo Isbitski. «Esta suposición es incorrecta. La seguridad a través de la oscuridad siempre ha sido una estrategia deficiente, y la complejidad de las API de GraphQL hace que asegurarlas sea más desafiante».

El cazador de amenazas de Netenrich, John Bambenek, le dijo a MarketingyPublicidad.es que cuando los desarrolladores de aplicaciones móviles crean aplicaciones y servicios API, creen erróneamente que un atacante no podría hacer un mal uso de esta información, ya que el teléfono en sí no brinda visibilidad.

«Es tentador creer que las aplicaciones móviles crean una capa de oscuridad que es difícil de romper para los atacantes, pero décadas de experiencia muestran que la seguridad a través de la oscuridad simplemente no hace el trabajo», dijo Bambenek.

«Las organizaciones deben asegurarse de que cada transacción requiera autorización y cada paso de una transacción se verifique para asegurarse de que los permisos sean apropiados para lo que se intenta».

Deja un comentario