Application Protection Report 2019[1] od F5 Labs wskazuje, że formularze online, jak strony logowania i koszyki zakupów, są coraz częściej przejmowane przez cyberprzestępców polujących na personalne dane finansowe (PFI). Formjacking przesyłający dane z przeglądarki internetowej klienta do lokalizacji kontrolowanej przez atakującego, pozostaje jedną z najczęstszych taktyk ataków. Stanowił aż 71% wszystkich analizowanych naruszeń danych w sieci w 2018, a w ostatnich dwóch latach wybija się na dominującą metodę ataków iniekcyjnych.
Tylko 83 incydenty przypisywane atakom formjacking wpłynęły w 2019 r. na bezpieczeństwo niemal 1,4 mln kart płatniczych. Najwięcej ataków (49%), które zakończyły się powodzeniem, wystąpiło w handlu detalicznym, 14% dotyczyło usług biznesowych zaś 11% skoncentrowało się na sektorze przemysłowym. Branża transportowa była atakowana tą metodą najczęściej (szczególnie personalne dane finansowe), stanowiąc aż 60% wszystkich kradzieży powiązanych z kartami kredytowymi.
Trendowi sprzyja decentralizacja usług i treści internetowych, która zwiększa możliwości ataku, coraz bardziej narażając firmy i konsumentów na kradzież haseł i kart kredytowych.
Formjacking przeżywa w ostatnich dwóch latach eksplozję popularności – mówi Ireneusz Wiśniewski, dyrektor zarządzający F5 Poland. Dzieje się tak, ponieważ krytyczne komponenty kodów aplikacji sieciowych (np. koszyki zakupów czy systemy płatności online) są coraz częściej outsourcowane do strony trzeciej. Deweloperzy sieciowi korzystają z bibliotek kodów, a bywa że linkują swoje aplikacje bezpośrednio do skryptów obsługiwanych przez firmy zewnętrzne. W efekcie organizacje stają się bardziej podatne, bo ich kod jest ściągnięty z dziesiątków różnych źródeł. Niemal wszystkie te źródła są poza możliwością kontroli i wykraczają poza zabezpieczenia przedsiębiorstw. Dodajmy, że wiele stron internetowych korzysta z tych samych zasobów zewnętrznych: atakujący wiedzą, że wystarczy dokonać jednej zmiany schematu danych, żeby uzyskać dostęp do ogromnej publi potencjalnych ofiar – dodaje Wiśniewski.
Wprawdzie ataki iniekcyjne nie są nowością, niemniej F5 Labs twierdzi, że pozostaną rosnącym trendem. Zgodnie z Exploit Database[2] 11% nowo odkrytych błędów w kodach (exploitów) w 2018 r. utworzyło część łańcucha ataków formjacking, włącznie ze zdalnym wykonaniem kodu (5,4%), dołączaniem plików – arbitrary file inclusion (3,8%) i zdalnym wykonaniem CMD (1,1%).
Ataki iniekcyjne zmieniają się wraz z naszymi zachowaniami – twierdzi Ireneusz Wiśniewski. Wykrywanie i ograniczanie tego typu błędów zależy od dostosowania kontroli i oceny sytuacji, nie tylko naprawy kodu. Im więcej kodu oddajemy w obce ręce, tym mniej widzimy i kontrolujemy – dodaje.
Zalecenia F5 Labs dla zabezpieczenia operacji:
Stworzenie inwentaryzacji aplikacji internetowych obejmującej dokładny audyt treści stron trzecich. Proces jest wart przeprowadzenia, mimo że jest skomplikowany, bo poddostawcy (trzecia strona) zazwyczaj łączą się z kolejnymi, dodatkowymi witrynami i mają niskie standardy bezpieczeństwa.
Poprawianie środowiska. Chociaż łatanie niekoniecznie naprawia błędy w treściach pobranych z zewnątrz, to utrudnia rozprzestrzenianie się błędów z punktu początkowego, tzw. zaczepienia. Ponieważ ataki iniekcyjne w sieci są wszechstronną techniką, ważne jest też poprawianie aplikacji działających samodzielnie, aby zapobiegać uszkodzeniom powodowanym przez zasoby zewnętrzne.
Skanowanie podatności. CISCO od lat rekomenduje skanowanie zewnętrzne celem uzyskania hakerskiego obrazu sytuacji. Jest to bardzo ważne w sytuacji, gdy po stronie klienta gromadzone są ogromne ilości danych.
Monitorowanie zmian kodu. Niezależnie od tego, gdzie jest hostowany kod, ważne jest uzyskanie większej widoczności, bez względu na to, czy pojawiają się nowe luki, czy nie. Oznacza to monitorowanie pakietów GitHub i AWS S3, a także natywnych repozytoriów kodu.
Uwierzytelnianie wieloczynnikowe. Powinno być wdrażane w każdym systemie łączącym się z aktywami o dużym znaczeniu, ponieważ atak iniekcyjny, jest często używany do ominięcia uwierzytelnienia, żeby uzyskać dostęp do kodu serwera www. Szyfrowanie warstwy aplikacji może idealnie uzupełniać TLS/SSL, aby zachować poufność na poziomie przeglądarki. Wiele znanych produktów WAF (zapory sieciowej) ma taką możliwość, jednak zaawansowany WAF daje wyższy poziom widoczności i kontroli warstwy aplikacji, co pomaga w zmniejszeniu ryzyka rozproszonych, polimorficznych iniekcji.
Wdrożenie potencjału narzędzi oprogramowania serwera. Utworzenie Polityki Bezpieczeństwa treści (CSP) umożliwi blokowanie nieautoryzowanych iniekcji kodu na stronie internetowej lub w aplikacji. Metody internetowe SubResource Integrity (SRI) mogą sprawdzić, czy aplikacje od innych firm nie zostały zmienione. Oba narzędzia wymagają poprawnego dopasowania do aplikacji internetowej. W tej pracy przyda się solidny, elastyczny WAF.
Monitorowanie nowo zarejestrowanych domen i certyfikatów. Służą one często do hostowania szkodliwych skryptów, a wydają się nieszkodliwe dla użytkowników końcowych.
[1] Analiza wykorzystująca dane z 760 raportów
[2] https://www.exploit-db.com/
