Các cơ quan an ninh mạng cảnh báo các lỗi IDOR bị khai thác

Điều này bao gồm một loại lỗi gọi là tham chiếu đối tượng trực tiếp không an toàn (Insecure Direct Object Reference - IDOR), một loại lỗ hổng kiểm soát truy cập, cho phép ứng dụng sử dụng đầu vào do người dùng cung cấp hoặc mã định danh để truy cập trực tiếp vào tài nguyên nội bộ như bản ghi cơ sở dữ liệu (CSDL) mà không cần bất kỳ xác nhận bổ sung.

Một ví dụ điển hình về lỗ hổng IDOR là khả năng thay đổi URL của người dùng (ví dụ: https://example[.]site/details.php?id=12345) để lấy dữ liệu trái phép của một giao dịch khác (ví dụ: https //example[.]site/details.php?id=67890).

Theo các cơ quan an ninh mạng: "IDOR là các lỗ hổng kiểm soát truy cập, cho phép các tác nhân độc hại sửa đổi, xóa dữ liệu hoặc truy cập dữ liệu nhạy cảm bằng cách đưa ra yêu cầu tới một trang web hoặc giao diện lập trình ứng dụng web (API) ghi rõ định danh của những người dùng hợp lệ. Những yêu cầu này thành công khi việc thực hiện kiểm tra xác thực và ủy quyền không được thực hiện đầy đủ."

Trung tâm an ninh mạng Úc (ACSC) của Tổng cục tín hiệu Úc, Cơ quan an ninh cơ sở hạ tầng, an ninh mạng Hoa Kỳ (CISA) và Cơ quan An ninh Quốc gia Hoa Kỳ (NSA) lưu ý rằng những lỗ hổng như vậy đang bị lạm dụng để xâm phạm quyền riêng tư, thông tin tài chính và sức khỏe của hàng triệu người dùng và khách hàng.

Để giảm thiểu các mối đe dọa này, các nhà cung cấp, nhà thiết kế và các nhà phát triển nên áp dụng các nguyên tắc bảo mật theo thiết kế và mặc định, đồng thời đảm bảo phần mềm thực hiện kiểm tra xác thực và ủy quyền cho mọi yêu cầu sửa đổi, xóa và truy cập dữ liệu nhạy cảm.

Sự phát triển diễn ra vài ngày sau khi CISA công bố phân tích dữ liệu thu thập được từ các đánh giá rủi ro và lỗ hổng (RVA) được thực hiện trên nhiều cơ quan điều hành dân sự liên bang (FCEB) cũng như các nhà khai thác cơ sở hạ tầng quan trọng của khu vực công và tư nhân có mức độ ưu tiên cao.

Nghiên cứu cho thấy rằng: "Những tài khoản hợp lệ là kỹ thuật tấn công thành công phổ biến nhất chiếm 54% nỗ lực thành công”. Tiếp theo là liên kết lừa đảo trực tuyến (33,8%), tệp đính kèm lừa đảo trực tuyến (3,3%), các dịch vụ từ xa bên ngoài (2,9% ) và các thỏa hiệp (1,9%).

Các tài khoản hợp pháp, có thể là tài khoản nhân viên cũ chưa bị xóa khỏi thư mục hoạt động hoặc tài khoản quản trị viên mặc định cũng nổi lên như một phương tiện hàng đầu để thiết lập tính bền vững trong mạng bị xâm phạm (56,1%), leo thang đặc quyền (42,9%), và trốn tránh bảo vệ (17,5%).

CISA cho biết: "Để bảo vệ chống lại kỹ thuật tài khoản hợp lệ thành công, các thành phần của cơ sở hạ tầng quan trọng phải triển khai những chính sách mật khẩu mạnh như chống lừa đảo (xác thực đa yếu tố), đồng thời theo dõi nhật ký truy cập và nhật ký giao tiếp mạng để phát hiện truy cập bất thường"./.