Expert van F-Secure ontdekt ernstige softwarefouten in de API Connect-software van IBM

Een beveiligingsexpert van F-Secure heeft een paar ernstige zero-day-exploits gevonden in software die door banken wordt gebruikt. Aanvallers die de twee kwetsbaarheden succesvol misbruiken, kunnen basisrechten verkrijgen voor hun doelwitten en ongeautoriseerde opdrachten uitvoeren. Het is dus belangrijk dat bedrijven de updates zo snel mogelijk installeren.

William Söderberg, beveiligingsexpert van F-Secure, heeft de kwetsbaarheden ontdekt. Beide fouten schuilen in API Connect van IBM, een product dat wordt gebruikt door veel financiële instellingen ter ondersteuning van de Open Banking Services, die zijn opgelegd door de PSD2-verordering (een Europese richtlijn betreffende betaaldiensten).

Mogelijke gevolgen

“Het is lastig om de gevolgen te beschrijven, omdat het product op veel verschillende manieren kan worden gebruikt en geïmplementeerd. De fouten kunnen een aanvaller echter in staat stellen om ongeautoriseerde toegang te krijgen tot API-gegevens, die vervolgens worden gebruikt om toegang te krijgen tot de API’s. Een aanvaller kan mogelijk ook storingen in de dienstverlening veroorzaken en een eerste voet aan de grond krijgen op de interne netwerken van de klant,” legt William uit.

De eerste kwetsbaarheid (CVE-2019-4203) wordt ingedeeld als een zogeheten Server-Side Request Forgery (SSRF)-aanval. Als de aanvaller erin slaagt, zou hij de portal kunnen ‘misleiden’ om namens hem of haar verzoeken in te dienen. Vervolgens ontvangen de aanvallers de responsen. Hiermee kan een aanvaller gevoelige bestanden uit de Developer Portal lezen of proberen om deze bestanden van de portaalserver naar andere systemen in hetzelfde netwerk te verplaatsen.

De tweede kwetsbaarheid (CVE-2019-4202) wordt ingedeeld als een zogeheten remote code execution (RCE)-kwetsbaarheid. Deze bevindt zich in de REST API van de Developer Portal. Meestal blokkeren bedrijven de REST API van het open internet (bijvoorbeeld door middel van een firewall). Door echter misbruik te maken van de voornoemde SSRF-kwetsbaarheid kan een aanvaller de kwetsbare REST API via het internet bereiken. Als hij beide kwetsbaarheden succesvol misbruikt, zou een aanvaller op afstand opdrachten met basisrechten kunnen uitvoeren op het getroffen systeem.

Schade beperken

Gelukkig is er één ding dat kan helpen om de eventuele schade te beperken.

“Er is echter één beperking voor een aanvaller,” licht William toe. “Klanten kunnen hun Development Portal zo instellen dat onveilige TLS-verbindingen niet mogelijk zijn. Dit zou de kans verkleinen dat de RCE vanaf het internet kan worden misbruikt.”

IBM heeft de problemen snel aangepakt en reeds een oplossing aangedragen. F-Secure beveelt aan om de software onmiddellijk bij te werken. Niet alleen vanwege de ernst van de kwetsbaarheden, maar ook vanwege het feit dat een aanvaller de kwetsbaarheden kan misbruiken.

IBM heeft voor beide kwetsbaarheden (CVE-2019-4202 en CVE-2019-4203) een beveiligingsmededeling op haar website geplaatst.