Bir araştırmacı, bu hafta Starbucks kurumsal veritabanında depolanan yaklaşık bir milyon finansal kaydı ortaya çıkaran kritik bir SQL enjeksiyon güvenlik açığını ortaya çıkardı.
Eugene Lim isimli araştırmacı , HackerOne’daki bug bounty programı ile Starbucks’a hataları bildirdikten sonra 4.000 $ kazandı. Güvenlik açığı 8 Nisan’da tespit edildi ve iki gün içinde yamalandı. HackerOne’a gönderdiği güvenlik açığı raporu ise 6 Ağustos’ta kamuya duyuruldu.
4.000 $ ‘ın Starbucks’ ın bug bounty programı ile kritik güvenlik açıkları için ödediği maksimum para tutarı olduğuna dikkat çekiyor. Kahve devi tarafından verilen ortalama ödül 250 dolar ve şu ana kadar ödenen toplam tutar 400 bin doları aşıyor.
Lim’a göre, dosya yükleme güvenlik açıkları için hedeflenen uç noktayı kontrol ederek başladı ve ardından Microsoft Dynamics AX kurumsal kaynak planlama (ERP) platformunu çalıştırdığını fark ettikten sonra XXE kusurları için test etti.
XXE saldırılarını başlatma girişimleri başarısız olduktan sonra, diğer potansiyel hedeflere geçmeye karar verdi. Yaklaşık bir ay sonra, bitiş noktasını tekrar ziyaret etmeye ve yakında keşfettiği SQL enjeksiyonlarını kontrol etmeye karar verdi.
“Böylece bir SQL enjeksiyonu yaptım – peki ya veritabanı kullanılmamış ya da ihmal edilebilirse? Üç şey için test yapmaya karar verdim: veri tabanındaki veri tipi, veri miktarı ve veri sürekliliği. Ancak, hemen bir engelle tanıştım: kurumsal bir veritabanı olarak, Microsoft Dynamics AX çok büyüktü: hızlı bir kontrol, veritabanının binlerce tabloya sahip olduğunu gösterdi. Ana tabloyu bulup odaklanmam gerekti, ama nereden başlamalıydım?
“Neyse ki, Microsoft, Dynamics AX hakkında çevrimiçi belgeler sağlıyor. Biraz araştırma yaptıktan sonra, varsayılan ana tabloyu ve ilgili sütunları buldum. Birkaç dakika sonra cevaplar geldi. Bir önceki yıla kadar gerçek muhasebe bilgilerini içeren neredeyse bir milyon giriş vardı. Bingo !! Test etmeyi hemen bıraktım ve raporumu yazdım. ”
Araştırmacı, veritabanının vergi, makbuz ve bordro verileri dahil olmak üzere muhasebe ve diğer finansal kayıtları depoladığını söyledi.
securityweek.com