Online-Kursanbieter Coursera hat mit API-Problemen zu kämpfen, wobei die Cloud eine zusätzliche Belastung darstellt

  • Forscher haben am Donnerstag bekannt gegeben, dass sie im vergangenen Jahr eine “Broken Object Level Authorization”-Schwachstelle (BOLA) und viele weitere API-Probleme auf der Plattform des Online-Kursanbieters Coursera gefunden und später behoben haben. (“Werbach-Student-Flatscreen3” von Vanessa Blaylock ist lizenziert unter CC BY 2.0)

    Forscher haben am Donnerstag bekannt gegeben, dass sie im vergangenen Jahr eine “Broken Object Level Authorization”-Schwachstelle (BOLA) und viele andere API-Probleme auf der Plattform des Online-Kursanbieters Coursera gefunden und später behoben haben.

    Die BOLA-Schwachstelle hätte von Hackern missbraucht werden können, um die Kurspräferenzen der Benutzer zu verstehen und die Kursauswahl eines Benutzers zu beeinflussen, so die Forscher von Checkmarx in einem Blogpost. Durch die Manipulation der letzten Aktivitäten der Benutzer, so sagten sie, könnte der Inhalt, der auf der Homepage von Coursera für jeden Benutzer angezeigt wird, beeinflusst werden.

    Laut den Forschern schickte Checkmarx dem Sicherheitsteam von Coursera am 5. Oktober 2020 einen vollständigen Bericht über seine Erkenntnisse, und nachdem die Teams von Checkmarx und Coursera daran gearbeitet hatten, das Problem zu beheben, bestätigte Coursera am 24. Mai dieses Jahres, dass alle Probleme behoben wurden.

    Eine BOLA tritt auf, wenn eine Anwendung nicht korrekt bestätigt, dass der Benutzer, der die Anfrage ausführt, über die erforderlichen Berechtigungen verfügt, um auf eine Ressource eines anderen Benutzers zuzugreifen. So gut wie jedes Unternehmen hat APIs, die potenziell für eine BOLA anfällig sind.

    APIs gibt es zwar schon seit Jahren, aber die Einführung von Cloud und Cloud-Services sind die Haupttreiber für ihre explosionsartige Verbreitung, fügte Jason Kent, Hacker in Residence bei Cequence Security, hinzu. Kent sagte, dass die von den Checkmarx-Forschern erwähnte BOLA bedeutet, dass die Bedrohungsakteure ihre Privilegien zum Super-Admin erheben und sich seitlich bewegen könnten, um auf die anderen Cloud-Dienste und die damit verbundenen Daten zuzugreifen.

    “Die Tatsache, dass es sich in der Cloud befindet, im Gegensatz zu einem Rechenzentrum, hinter vielen Sicherheitsschichten, bedeutet, dass diese zusätzlichen Dienste und Daten für Bedrohungsakteure etwas leichter zugänglich sind”, sagte Kent. “Dies ist ein weiterer in einer langen Reihe von API-Sicherheitsvorfällen, die mit sicheren API-Codierungspraktiken vermieden werden könnten.”

    Adam Fisher, Principal Security Engineer bei Salt Security, sagte, dass BOLAs kritisch sind und auch nicht sehr häufig vorkommen, da sie Anmeldedaten, Anmeldeinformationen und den Zugriff auf das Portal des Benutzers erfordern. Fisher sagte, dass eine BOLA ein Unternehmen dem Risiko aussetzt, eine große Menge an sensiblen Kundendaten zu verlieren.

    Ein BOLA rührt von unzureichenden Autorisierungsmaßnahmen her, erklärte Fisher. Bei der Kodierung, so Fisher, ist es wichtig, einen zentralen Prozess zur Überprüfung der Autorisierung von Benutzern zu haben, der ein “erster Schritt” in der Architektur einer Anwendung sein sollte.

    “Jeder einzelne API-Aufruf sollte so programmiert sein, dass er dies tut, um auch die Autorisierung des Endbenutzers zu bestätigen”, sagte Fisher. “Die erste Prüfung muss im Code erfolgen, während eine notwendige ‘zweite’ Prüfung als präventive Maßnahme erfolgen sollte, die einen Angriff verhindert. Im Coursera-Beispiel gab es keinen Mechanismus, um die Benutzer-IDs zu überprüfen, was es potenziellen Angreifern ermöglichen würde, die Benutzerauthentifizierung aufzuzählen.”

    Einige Teile dieses Artikels stammen aus:
    www.scmagazine.com