OAuth Redirect Flaw in Airline Travel Integration Exposes Millions to Account Hijacking
2025/01/28 TheHackerNews — API セキュリティ企業 Salt Labs が公表したレポートは、ホテルやレンタカーのオンライン予約サービスに存在する、アカウント乗っ取りの脆弱性に関するものだ。なお、この脆弱性は、すでに修正されているという。Salt Labs は、「この欠陥を悪用する攻撃者は、システム内のあらゆるユーザー・アカウントへのアクセス権を獲得し、被害者に成りすまして、さまざまな操作を実行する。具体的には、被害者のマイレッジ・ポイントによるホテルやレンタカーの予約や、予約情報のキャンセルや編集などである」と、The Hacker News に共有したレポートで述べている。
この脆弱性が悪用されると、何百万人ものオンライン航空会社のユーザーに危険が及ぶ可能性があると、Salt Labs は述べている。当該のオンライン・サービス社の、名前は公表されていない。しかし、そのサービスは、数十の航空会社のオンライン・サービスに統合されており、航空券の旅程へのホテル予約の追加も可能であるという。
この脆弱性は、特別に細工されたリンクを送信するだけで、きわめて簡単に悪用できる。それらのリンクは、攻撃者が管理する電子メール/テキスト・メッセージ/ Web サイトなどのチャネルを介して配信される。そして、被害者アカウントの乗っ取りは、被害者がリンクをクリックし、ログイン・プロセスが完了した時点で達成される。
レンタカー予約サービスと統合されたサイトでは、航空会社サービス・プロバイダに紐付けられた認証情報を使って、同サービスにログインするオプションが提供されている。この場合の認証の仕組みは、レンタカー予約プラットフォームがリンクを生成し、ユーザーを航空会社の Web サイトにリダイレクトして、OAuth 経由で完了させるように設計されている。
このサインインが成功すると、ユーザーは “<rental-service>.<airlineprovider>.sec” というフォーマットに従った Web サイトにリダイレクトされる。そして、そこから航空会社のマイレッジ・ポイントを使うことで、ホテルやレンタカーを予約できる。
Salt Labs が推測する攻撃方法は、ユーザーのセッション・トークンを取り込んだ、航空会社サイトからの認証レスポンスを、攻撃者の管理下にあるサイトへとリダイレクトするものだ。この攻撃は、”tr_returnUrl” パラメータを操作することで達成される。それにより攻撃者は、被害者のアカウントに不正にアクセスし、個人情報などを取得できるようになる。
セキュリティ研究者の Amit Elbirt は、「この攻撃は、標準的なドメイン検査やブロック/許可リストの方法では検知が困難である。なぜなら、操作されたリンクでは、顧客の正規のドメインが使用されているからだ。なお、操作はドメイン・レベルではなくパラメータ・レベルのみで行われる」と述べている。
Salt Labs が警告するのは、このようなサービス間のインタラクションが、API サプライチェーン攻撃の格好の標的となっている状況である。攻撃に成功した脅威アクターは、エコシステム内の脆弱なリンクを標的としてシステムに侵入し、顧客の個人情報を窃取していく。
Elbirt は、「この種の攻撃は、単なるデータ露出に留まらず、ユーザーを装う発注などの操作や、アカウント情報の変更などを可能にする。この深刻なリスクが浮き彫りにするのは、サードパーティ統合における脆弱性や、アカウントへの不正な操作に対抗する、厳格なセキュリティ・プロトコルの重要性である」と付け加えた。
つい先日の 2025/01/14 に、「“Sign in with Google” に深刻な問題:廃棄されたメアドでクラウドにログインできる?」という記事をポストしていますが、こちらも OAuth 関連のインシデントでした。よろしければ、カテゴリ NHI を、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.