Cybersecurity Agencies Warn Against IDOR Bugs Exploited for Data Breaches
2023/07/28 TheHackerNews — オーストラリアおよび米国のサイバーセキュリティ機関が、共同サイバー・セキュリティ・アドバイザリを発表した。同アドバイザリは、脅威アクターにより悪用される可能性のある、Web アプリケーションのセキュリティ脆弱性を警告するものだ。この脆弱性には、Insecure Direct Object Reference (IDOR) と呼ばれる特定のクラスのバグが含まれる。これはアクセス制御の脆弱性の一種であり、ユーザーから提供された入力または識別子を追加の検証なしに、データベース・レコードなどの内部リソースに、アプリケーションがダイレクトにアクセスする場合に発生する。
IDOR 脆弱性の典型的な例は、ユーザが URL (例えば、https://example[.]site/details.php?id=12345) を些細に変更し、別のトランザクションの不正なデータ (例えば、https://example[.]site/details.php?id=67890) を取得するものだ。
このアドバイザリには、「IDOR 脆弱性とは、Web サイトや Web API に対して、正規ユーザーの識別子を指定して、脅威アクターがリクエストを発行することを許すものである。その結果として、データの修正/削除および、機密データへのアクセスが可能になってしまうという。これらのリクエストは、適切な認証と認可のチェックが行われない場合に成功する」と記されている。
オーストラリアの ACSC (Australian Cyber Security Centre)/米国の CISA (Cybersecurity and Infrastructure Security Agency)/米国 NSA (National Security Agency) は、このような脆弱性が脅威アクターにより悪用され、何百万人ものユーザーや消費者の個人情報/金融情報/健康情報などが危険にさらされていると警告している。
このような脅威を軽減するためには、ベンダー/設計者/開発者に対しては、Secure-by-Design と Secure-by-Default の原則を採用し、機密データの変更/削除/アクセスを行う全てのリクエストに対して、認証/承認チェックを確実に実行することが推奨される。
この展開は、複数の FCEB および優先度の高い民間/公共部門の重要インフラ事業者に対して実施された、RVA (Risk and Vulnerability Assessments) から収集されたデータの分析を、CISA が発表した数日後に始まっている。
この調査レポートには、「有効な正規アカウントの悪用が、最も一般的な攻撃手法であり、成功した試行の54%を占めている。続いて、スピアフィッシング・リンク (33.8%)/スピアフィッシング添付ファイル (3.3%)/外部リモートサービス (2.9%)/ドライブバイ・コンプロマイズ (1.9%) となる」と記されている。
悪用される正規アカウントとして考えられるのは、アクティブ・ディレクトリから削除されていない元従業員のアカウントや、デフォルトの管理者アカウントなどである。その結果として、侵害したネットワークでの永続性の確立 (56.1%) /権限の昇格 (42.9%) /防御回避 (17.5%) などの、トップベクターとして浮上している。
CISA は、「Valid Accounts の悪用から身を守るためには、フィッシングに強い多要素認証などの強力なパスワード・ポリシーを導入し、アクセス・ログやネットワーク通信ログを監視し、異常なアクセスを検出して、重要なインフラ・エンティティを保護する必要がある」と述べている。
最近、見かけることの多い IDOR (Insecure Direct Object Reference) ですが、それが生じるメカニズムを示してくれる、とても助かる記事です。また、ACSC/CISA/NSA が共同でアドバイザリを出すというのも、その被害が大きいことの裏付けだと思えます。よろしければ、以下の IDOR 関連記事を、ご参照ください。
2023/06/13:WooCommerce の IDOR 脆弱性 CVE-2023-34000
2023/06/23:Teams の緩いデフォルト設定:容易にマルウェア投下
2023/06/08:ホンダの機器類を販売する e コマース・サイトに脆弱性
IoT OT Security News 
You must be logged in to post a comment.