01 Бер, 2023

Витік інформації через повідомлення про помилки

Vulnerability Assessment as a Service (VAaaS)

Tests systems and applications for vulnerabilities to address weaknesses.

Витік інформації через повідомлення про помилки відноситься до випадкового розкриття конфіденційної інформації неавторизованого особі через повідомлення про помилки з комп'ютерними системами або додатками. Це може статися, коли повідомлення про помилки містять більше інформації, ніж потрібно, або коли вони розкривають інформацію, яка повинна залишатися конфіденційною.

У контексті програмних додатків витік інформації може відбуватися, коли конфіденційні дані передаються чи зберігаються небезпечним способом, або коли повідомлення про помилки або інші відгуки додатків містять інформацію, яка не повинна розкриватися користувачам. 

У контексті мереж витік інформації може статися, коли конфіденційні дані передаються по незахищеній мережі або коли мережевий трафік перехоплюється неавторизованими особами або системами.

Наприклад, уявіть, що ви намагаєтеся увійти в свій обліковий запис електронної пошти з неправильним паролем. Система може видати повідомлення про помилку з написом "Невірний пароль". Але якщо в повідомленні про помилку вказано вашу адресу електронної пошти або ім'я користувача, хакер може використовувати цю інформацію, щоб спробувати вгадати ваш пароль і отримати доступ до облікового запису електронної пошти.

Іншим прикладом може бути веб-додаток, який генерує повідомлення про помилку з докладною інформацією про програмне забезпечення і конфігурації сервера. Ця інформація може бути використана зловмисником для пошуку вразливостей або слабких місць для використання.

Як генеруються повідомлення про помилки?

Повідомлення про помилки генеруються комп'ютерними системами або додатками при виникненні помилки або непередбаченого стану. Ці помилки можуть бути викликані різними факторами, включаючи невірне введення даних користувачем, системні збої або програмні помилки.

При виявленні помилки система або програма зазвичай генерують повідомлення про помилку, у якому міститься інформація про помилку і пропонує можливі способи її усунення. Повідомлення зазвичай відображається користувачу або у вигляді спливаючого вікна, діалогового вікна або у вигляді повідомлення, відображуваного на екрані.

Зміст і формат повідомлень про помилки можуть змінюватись в залежності від системи або програми, але зазвичай вони містять таку інформацію, як тип виникла помилки, опис помилки і пропоноване рішення чи план дій. Деякі повідомлення про помилки можуть також містити додаткову інформацію, таку як коди помилок, трасування стека або відомості про налагодження, які можуть бути використані розробниками або системними адміністраторами для діагностики та усунення основної проблеми.

Яка інформація в повідомленнях про помилки може бути корисна хакеру? 

Повідомлення про помилки потенційно можуть надати зловмисникам корисну інформацію, особливо якщо повідомлення містять конфіденційну інформацію, яка не повинна розголошуватися.

Імена користувачів або адреси електронної пошти. Повідомлення про помилки, які містять конкретну інформацію про обліковий запис користувача, таку як ім'я користувача або адресу електронної пошти, можуть бути використані зловмисником, намагаються вгадати пароль користувача або отримати несанкціонований доступ до його облікового запису. Якщо повідомлення про помилку містить ім'я користувача або адресу електронної пошти, зловмисник може використовувати цю інформацію для запуску атаки методом перебору, в ході якої він намагається вгадати пароль користувача, пробуючи безліч різних комбінацій, поки не знайде правильну.

Крім того, що зловмисники можуть вгадувати паролі, розкриття імен користувачів або адрес електронної пошти також може полегшити зловмисникам націлювання на конкретних користувачів або організації. Зловмисники можуть використовувати цю інформацію для організації фішингових атак або атак соціальної інженерії, які спеціально розроблені для того, щоб обманом змусити користувача надати додаткову інформацію або облікові дані.

Відомості про конфігурацію системи. Повідомлення про помилки, що містять детальну інформацію про базову програмному забезпеченні або конфігурації системи, можуть бути використані зловмисниками для виявлення потенційних вразливостей або слабких місць, які можна використовувати.

Наприклад, якщо повідомлення про помилку містить конкретні відомості про програмне забезпечення або конфігурації системи, зловмисник може використовувати цю інформацію для виявлення відомих вразливостей або слабких місць у системі. Потім вони можуть розробляти більш цілеспрямовані атаки, які використовують ці уразливості або слабкі місця, потенційно приводячи до несанкціонованого доступу або іншим шкідливим діям.

Крім того, відомості про конфігурацію системи також можуть бути використані для зняття відбитків пальців з системи, що означає, що зловмисники можуть використовувати цю інформацію для ідентифікації конкретних програмних і апаратних компонентів, що використовуються системою. Ця інформація може бути використана для розробки більш цілеспрямованих атак, адаптованих до конкретних компонентів системи, що ускладнює їх виявлення і захист.

Трасування стека або налагоджувальна інформація. Трасування стека і інформація про налагодження можуть становити небезпеку при включенні до повідомлення про помилку, оскільки вони можуть надати зловмисникам цінну інформацію про внутрішній роботі системи або програми. Трасування стека надають детальну запис послідовності викликів функцій, які призвели до помилки, в той час як налагоджувальна інформація може включати відомості про структуру системної пам'яті, значеннях змінних та іншої інформації про внутрішній стан.

Зловмисники можуть використовувати цю інформацію для виявлення потенційних вразливостей або слабких місць у системі або додатку, а також для розробки більш цілеспрямованих атак. Наприклад, вони можуть використовувати інформацію з трасування стека для ідентифікації конкретних функцій або модулів, уразливі для атак, або для отримання детальної інформації про базову архітектуру системи.

Конкретні коди помилокКоди помилок, пов'язані з відомими уразливими місцями або слабкими місцями, можуть бути використані зловмисниками для визначення потенційних цілей атаки.

Наприклад, якщо повідомлення про помилку містить код помилки, який пов'язаний з відомою уразливістю в конкретному програмному додатку, зловмисник може використовувати цю інформацію для ідентифікації систем, уразливих для атаки, і спробувати використовувати уразливість.

Щоб знизити цей ризик, повідомлення про помилки повинні бути загальними і не містити конкретні коди помилок, які можуть бути пов'язані з відомими уразливими місцями або слабкими місцями. Крім того, повідомлення про помилки не повинні містити жодної додаткової інформації, яка могла б бути використана для ідентифікації базової системи або програми, такої як номери версій або відомості про конфігурації. Це може утруднити зловмисникам виявлення потенційних цілей і розробку цілеспрямованих атак.

Як викликати повідомлення про помилки?

Повідомлення про помилки можуть бути викликані різними способами, в залежності від конкретної системи або програми. Ось кілька поширених способів, якими можуть бути викликані повідомлення про помилки

Невірний користувальницький введення. У багатьох випадках повідомлення про помилки з'являються, коли користувач вводить неправдиву або неточну інформацію у форму або поле. Наприклад, якщо користувач намагається надіслати форму з невірним адресою електронної пошти, система може згенерувати повідомлення про помилку, яке вказує, що адреса електронної пошти недійсний.

  1. SQL-ін'єкція: Одним з найпоширеніших типів уразливості з неприпустимим користувальницьким введенням є SQL-ін'єкція. Зловмисники можуть скористатися цією уразливістю, відправляючи SQL-запити в якості користувальницького введення, змушуючи систему виконувати запит і потенційно розкриваючи конфіденційні дані. Приклад корисної навантаження: 'АБО 1=1; –'

  2. Cross-site scripting (XSS): Another type of invalid user input vulnerability is cross-site scripting, in which attackers inject malicious scripts into a website by submitting them as user input. Example payload: <script>alert(‘XSS Attack!’);</script>

  3. Впровадження команд: проблеми, пов'язані з впровадженням команд, що дозволяють зловмисникам виконувати довільні команди в базовій системі, відправляючи їх в якості користувальницького введення. Приклад корисної навантаження: ; ls -la

  4. Обхід шляху: уразливості з обходом шляхи дозволяють зловмисникам отримувати доступ до файлів або каталогів за межами передбачуваної області шляхом маніпулювання введенням, що вказує шлях до файлу. Приклад корисної навантаження: ../../../etc/passwd

Системні збої. Повідомлення про помилки можуть бути викликані системними збоями, такими як проблеми з обладнанням або мережею. Наприклад, якщо з'єднання втрачено, коли користувач намагається отримати доступ до веб-сайту, система може згенерувати повідомлення про помилку, яке вказує, що сайт недоступний.

Помилки в програмному забезпеченні. Повідомлення про помилки можуть бути викликані помилками програмного забезпечення або помилками програмування. Наприклад, якщо програмне додаток виявляє непередбачене умова або помилку, воно може згенерувати повідомлення про помилку, яке вказує на те, що сталася помилка.

Питання, пов'язані з безпекою. Повідомлення про помилки можуть бути викликані проблемами, пов'язаними з безпекою, наприклад, коли користувач намагається отримати доступ до ресурсу, для якого у нього немає достатніх дозволів. В цьому випадку система може згенерувати повідомлення про помилку, яке вказує на те, що ви не авторизований для доступу до ресурсу.

Реальні приклади з життя 

У 2016 році була виявлена уразливість в системі входу в популярний додаток для знайомств Tinder. Програма видала повідомлення про помилку, яке вказує, чи був конкретний адресу електронної пошти вже зареєстрований на сервісі. Це дозволило зловмисникам використовувати атаку методом перебору, щоб вгадати дійсні адреси електронної пошти і отримати доступ до облікових записів користувачів.

У 2017 році дослідники безпеки виявили, що веб-сайт великого британського рітейлера пропускав конфіденційну інформацію про клієнтів через повідомлення про помилки. Реєстраційна форма веб-сайту містила поле для адреси електронної пошти користувача, і якщо адреса електронної пошти вже використовувався, веб-сайт відображав повідомлення про помилку, яке включало ім'я та прізвище користувача, пов'язаного з цією адресою електронної пошти.

У 2018 році в мобільному додатку великої мережі готелів була виявлена уразливість. Додаток відображало повідомлення про помилки, які містять конфіденційну інформацію про користувача, включаючи адреси електронної пошти, номери телефонів і номери підтвердження бронювання. Ця інформація може бути використана зловмисниками для доступу до облікових записів користувачів і перегляду або зміни бронювань.

У 2019 році дослідники безпеки виявили, що форма входу в систему популярного менеджера паролів пропускала конфіденційну інформацію через повідомлення про помилки. У формі відображається повідомлення про помилку, якщо користувач введе невірну адресу електронної пошти та пароль, але в повідомленні про помилку також вказується, чи адресу електронної пошти зареєстрований в службі. Це дозволило зловмисникам використовувати атаку методом перебору, щоб вгадати дійсні адреси електронної пошти і отримати доступ до облікових записів користувачів.

У 2020 році на веб-сайті великого урядового установи США була виявлена уразливість. Веб-сайт відобразив повідомлення про помилку, яке вказує, чи є конкретне ім'я користувача в системі. Це дозволило зловмисникам використовувати атаку методом перебору, щоб вгадати дійсні імена користувачів і потенційно отримати доступ до конфіденційних урядовими даними.

У 2015 році була виявлена уразливість в системі входу в систему популярної платформи соціальних мереж. Платформа відобразила повідомлення про помилку, яке вказує, чи був конкретний телефонний номер вже зареєстрований на сервісі. Це дозволило зловмисникам використовувати атаку методом перебору, щоб вгадати дійсні телефонні номери і отримати доступ до облікових записів користувачів.

У 2016 році на веб-сайті великого постачальника медичних послуг у США була виявлена уразливість. На веб-сайті з'явилося повідомлення про помилку, яке вказує, чи був конкретний адресу електронної пошти пов'язаний з дійсної обліковим записом. Це дозволило зловмисникам використовувати атаку методом перебору, щоб вгадати дійсні адреси електронної пошти і отримати доступ до конфіденційних медичними даними.

У 2017 році на веб-сайті великого американського рітейлера була виявлена уразливість. Функція скидання пароля веб-сайту відобразила повідомлення про помилку, яке вказує, чи був конкретний адресу електронної пошти пов'язаний з дійсної обліковим записом. Це дозволило зловмисникам використовувати атаку методом перебору, щоб вгадати дійсні адреси електронної пошти і скинути паролі користувачів.

КРАЩІ посилання CVE на витік інформації через повідомлення про помилки 

Нижче наведені деякі посилання на CVE (Поширені уразливість і вразливість) для витоку інформації через повідомлення про помилки:

CVE-2019-11687 – Ця уразливість була виявлена в смартфон Huawei P20 Pro. На екрані входу в систему пристрої з'явилося повідомлення про помилку, яке вказує, чи є конкретне ім'я користувача в системі. Це дозволило зловмисникам використовувати атаку методом перебору, щоб вгадати дійсні імена користувачів і потенційно отримати доступ до пристрою.

CVE-2019-13914 – Ця уразливість була виявлена в плагіні Login by WPMU DEV для WordPress. Плагін відображав повідомлення про помилки, в яких зазначалося, був конкретний адресу електронної пошти пов'язаний з дійсної обліковим записом користувача. Це дозволило зловмисникам використовувати атаку методом перебору, щоб вгадати дійсні адреси електронної пошти і отримати доступ до облікових записів користувачів.

CVE-2020-9548 – Ця уразливість була виявлена на веб-сервері Apache Tomcat. Сторінки помилок сервера містили конфіденційну інформацію, включаючи номер версії сервера, а також ім'я та розташування певних файлів на сервері. Ця інформація може бути використана зловмисниками для усунення відомих вразливостей на сервері.

CVE-2021-31799 – Ця уразливість була виявлена в плагіні Contact Form 7 для WordPress. Плагін відображав повідомлення про помилки, які містили конфіденційну інформацію, включаючи ім'я та місцеположення окремих файлів на сервері. Ця інформація може бути використана зловмисниками для усунення відомих вразливостей на сервері.

CVE-2021-31799 – Ця уразливість була виявлена в додатку обміну повідомленнями WhatsApp. Додаток відобразило повідомлення про помилку, у якому зазначався номер телефону, пов'язаний з певним обліковим записом. Це дозволило зловмисникам використовувати атаку методом перебору, щоб вгадати дійсні телефонні номери і отримати доступ до облікових записів користувачів.

CVE-2021-31535 – Ця уразливість була виявлена в плагіні Loginizer для WordPress. Плагін відображав повідомлення про помилки, в яких розкривалося ім'я, пов'язане з певним адресою електронної пошти. Це дозволило зловмисникам використовувати атаку методом перебору, щоб вгадати дійсні адреси електронної пошти і отримати доступ до облікових записів користувачів.

CVE-2021-28031 – Ця уразливість була виявлена в системі відслідковування помилок MantisBT. Система відображала повідомлення про помилки, які містять конфіденційну інформацію, включаючи імена і місцеположення окремих файлів на сервері. Ця інформація може бути використана зловмисниками для усунення відомих вразливостей в системі.

CVE-2021-28797 – Ця уразливість була виявлена в веб-фреймворку Django. Сторінки помилок фреймворку містили конфіденційну інформацію, включаючи імена і місцеположення окремих файлів на сервері. Ця інформація може бути використана зловмисниками для усунення відомих вразливостей в платформі.

CVE-2021-3715 – Ця вразливість була виявлена в операційній системі OpenBSD. На екрані входу в систему з'явилося повідомлення про помилку, у якому вказувалося кількість дійсних імен користувачів в системі. Це дозволило зловмисникам використовувати атаку методом перебору, щоб вгадати дійсні імена користувачів і потенційно отримати доступ до системи.

CVE-2021-38034 – Ця уразливість була виявлена в інструменті управління базами даних phpMyAdmin. Сторінки помилок інструменту містили конфіденційну інформацію, включаючи імена і місцеположення окремих файлів на сервері. Ця інформація може бути використана зловмисниками для усунення відомих вразливостей в інструменті.

КРАЩІ посилання CWE на витік інформації через повідомлення про помилки 

CWE-209: Розкриття інформації через повідомлення про помилку – Це CWE є загальною категорією витоку інформації через повідомлення про помилки.

CWE-215: Розкриття інформації через налагоджувальну інформацію – це CWE охоплює витік інформації через налагоджувальну інформацію, яка може бути розкрита через повідомлення про помилки або інші джерела.

CWE-216: Розкриття інформації з–за невідповідності часу - цей CWE охоплює витік інформації, яка може бути виведена з часу повідомлень про помилки або іншої поведінки системи.

CWE-217: Нездатність повідомити інформацію про помилку – цей CWE охоплює ситуації, коли інформація про помилку не повідомляється, що може утруднити діагностику та усунення системних проблем.

CWE-530: Схильність до файлу резервної копії несанкціонованому контролю – цей CWE охоплює ситуації, коли повідомлення про помилки або інша системна інформація розкривають розташування файлів резервних копій, які можуть бути використані зловмисниками для отримання несанкціонованого доступу.

CWE-778: Недостатнє ведення журналу – цей CWE охоплює ситуації, коли повідомлення про помилки або інша системна інформація не реєструються, що може утруднити виявлення інцидентів безпеки і реагування на них.

Як організації можуть бути захищені від витоку інформації через повідомлення про помилки

Використання користувальницьких повідомлень про помилки: Замість використання повідомлень про помилки за замовчуванням, що надаються системою або додатком, створюйте настроювані повідомлення про помилки, які не розкривають конфіденційну інформацію. Це утруднить зловмисникам визначення того, які вразливості або слабкі місця існують у вашій системі.

Обмежте обсяг відображуваної інформації: Переконайтеся, що в повідомленнях про помилки відображається тільки мінімальний обсяг інформації, необхідний для того, щоб допомогти користувачеві або адміністраторові зрозуміти проблему. Уникайте відображення докладної технічної інформації, яка може бути корисна зловмисникові.

Використовуйте елементи керування доступомВпровадити засоби контролю доступу, що обмежують обсяг інформації, до якої можуть отримати доступ користувачі або зловмисники. Це утруднить зловмисникам збір інформації, яка може бути використана для використання вразливостей у вашій системі.

Виконайте тестування безпеки: Регулярно проводите тестування безпеки, таке як сканування вразливостей або тестування на проникнення, для виявлення та усунення будь-яких потенційних вразливостей у вашій системі.

Підтримуйте своє програмне забезпечення в актуальному стані: Переконайтеся, що все програмне забезпечення, включаючи операційні системи, програми та плагіни, підтримується в актуальному стані з використанням останніх виправлень і оновлень безпеки. Це допоможе знизити ризик використання відомих вразливостей.

Навчайте своїх співробітників: Проводьте регулярні тренінги з безпеки для своїх співробітників, щоб допомогти їм зрозуміти ризики, пов'язані з витоком інформації з-за повідомлень про помилки, і способи її запобігання. Це допоможе переконатися в тому, що всі співробітники вашої організації усвідомлюють важливість захисту конфіденційної інформації.

Висновок 

Витік інформації через повідомлення про помилки може представляти серйозну загрозу безпеки для організацій і користувачів. Зловмисники можуть використовувати інформацію, що міститься в повідомленнях про помилки, для отримання доступу до систем, крадіжки конфіденційних даних або проведення інших атак. Для захисту від вразливостей такого типу організаціям слід використовувати настроювані повідомлення про помилки, які не розкривають конфіденційну інформацію, обмежують обсяг інформації, що відображається в повідомленнях про помилки, і впроваджують засоби контролю доступу для обмеження інформації, до якої можуть отримати доступ користувачі або зловмисники. Регулярне тестування безпеки і навчання співробітників також можуть допомогти знизити ризик витоку інформації з-за повідомлень про помилки. Роблячи ці кроки, організації можуть підвищити безпеку своїх систем і захистити їх від потенційних витоків даних та інших кібератак.

Інші Послуги

Готові до безпеки?

зв'язатися з нами