CISA alerta para riscos de violações devido a vulnerabilidades IDOR em aplicativos web
31 de Julho de 2023

A CISA alertou hoje sobre os riscos significativos de violação relacionados a vulnerabilidades de referência direta a objetos inseguros (IDOR, na sigla em inglês) que afetam aplicações web, em um aviso conjunto com o Centro de Segurança Cibernética Australiano (ACSC) e a Agência de Segurança Nacional dos Estados Unidos (NSA).

Vulnerabilidades IDOR são falhas em aplicativos web (ou aplicativos que usam APIs web afetadas) que permitem aos atacantes acessar e manipular dados sensíveis ao referenciar diretamente objetos ou recursos internos.

Em termos mais simples, o aplicativo web vulnerável não valida corretamente o acesso do usuário a recursos específicos, como arquivos, bancos de dados ou contas de usuários.

As vulnerabilidades IDOR são consideradas riscos significativos de segurança, pois podem levar a acessos não autorizados e violações de dados devido à validação de entrada imprópria e verificações de autorização que permitem aos atores de ameaças acessar recursos que não estão autorizados a usar.

O ACSC, a CISA e a NSA alertaram fornecedores, designers, desenvolvedores e organizações que utilizam aplicações web para protegerem seus sistemas contra vulnerabilidades IDOR.

"Essas vulnerabilidades são frequentemente exploradas por atores maliciosos em incidentes de violação de dados e resultaram no comprometimento de informações pessoais, financeiras e de saúde de milhões de usuários e consumidores", disseram as três agências.

O aviso de hoje fornece uma série de melhores práticas, recomendações e mitigações para fornecedores, desenvolvedores e organizações de usuários finais visando reduzir a ocorrência de vulnerabilidades IDOR.

A orientação também ajuda a melhorar a postura de segurança das aplicações web, garantindo que sejam projetadas para ser seguras por padrão.

Os desenvolvedores de aplicativos web são aconselhados a implementar princípios de segurança por design e por padrão, seguir práticas de codificação seguras (por exemplo, mapas de referência indireta, normalização e verificação de parâmetros de entrada e CAPTCHAs), realizar revisões de código e testes usando análise de código automática e ferramentas de teste, e treinar o pessoal para o desenvolvimento seguro de software.

As organizações de usuários finais devem escolher aplicativos web que demonstrem compromisso com os princípios de segurança por design e por padrão, aplicar patches de software para aplicativos web o mais rápido possível, configurar aplicativos para registrar e alertar sobre tentativas de adulteração, e realizar testes de penetração regulares e varredura de vulnerabilidades para garantir que seus aplicativos web são seguros.

As três agências destacaram vários incidentes em que a exploração de falhas de segurança IDOR levou a violações massivas de dados.

Em outubro de 2021, um grande vazamento de dados envolvendo aplicativos "stalkerware" que estavam transferindo dados coletados para servidores afetados por uma vulnerabilidade IDOR ( CVE-2022-0732 ) expôs mensagens de texto, registros de chamadas, fotos e informações de geolocalização de centenas de milhares de dispositivos móveis.

Outra violação de dados de 2019 afetou uma organização do setor de serviços financeiros dos EUA, expondo mais de 800 milhões de arquivos financeiros pessoais, incluindo detalhes sensíveis como extratos bancários, números de contas bancárias e documentos de pagamento de hipotecas.

Um incidente separado ocorreu em 2012, em que atacantes roubaram os dados pessoais de mais de 100.000 proprietários de dispositivos móveis de um site publicamente acessível de uma organização do setor de comunicações dos EUA após explorar uma vulnerabilidade IDOR.

Publicidade

Cuidado com o deauth, a tropa do SYWP vai te pegar

A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo. Saiba mais...