Exposto e explorável: como uma falha de LFI deixou os arquivos do servidor de um gigante de viagens abertos para hackers

Expondo os riscos ocultos na infraestrutura da Web

À medida que as empresas confiam cada vez mais em APIs interconectadas e arquiteturas nativas em nuvem, até mesmo pequenos erros de configuração podem evoluir para ameaças críticas à segurança. Uma investigação recente da BeVigil, a plataforma de gerenciamento de superfície de ataque da CloudSEK, revelou uma grave vulnerabilidade de inclusão de arquivos locais (LFI) não autenticada que afeta um subdomínio associado a um importante participante do setor de viagens. Este blog explora a descoberta e suas ramificações, mostrando a necessidade urgente de uma higiene rigorosa de segurança em infraestruturas digitais.

A descoberta

O API Scanner da BeVigil identificou uma vulnerabilidade crítica de LFI em um dos domínios. A falha permitia acesso não autenticado ao sistema de arquivos de nível raiz do servidor por meio de endpoints de leitura de arquivo e carregamento de dados expostos. Ao vincular as funcionalidades de listagem de diretórios e leitura de arquivos, um invasor pode obter acesso abrangente aos arquivos internos, incluindo código-fonte, dados de configuração e credenciais codificadas.

Principais descobertas

O aplicativo web afetado implementou dois endpoints: readfile? path= e loaddata? path=—que pode ser manipulado para listar e acessar arquivos arbitrários no servidor. Esses endpoints careciam de autenticação e validação de entrada adequadas.

• O endpoint readfile forneceu listas de diretórios recursivas, expondo efetivamente a arquitetura interna do servidor host.
• O endpoint loaddata retornou o conteúdo completo de qualquer arquivo especificado, incluindo recursos confidenciais, como /root/.ssh/authorized_keys e arquivos de configuração do aplicativo.

A combinação desses endpoints permitiu que os invasores extraíssem credenciais codificadas, código-fonte, scripts de implantação e segredos de autenticação, comprometendo assim a integridade e a confidencialidade da infraestrutura.

‍

Desmascarando a vulnerabilidade: uma falha técnica

• ‍Acesso não autenticado no nível raiz: os invasores podiam navegar sistematicamente pela estrutura interna do diretório, identificando e extraindo ativos de alto valor. Além disso, a exploração do LFI não requer credenciais, o que expõe todo o sistema de arquivos do servidor a atacantes remotos.

‍

‍

• ‍Segredos codificados e arquivos de configuração: Informações confidenciais, como cadeias de conexão de banco de dados, tokens de API e URLs de serviços internos, foram expostas em texto sem formatação. O código-fonte e os arquivos de configuração revelaram APIs internas, fluxos lógicos e integrações de serviços, facilitando a movimentação lateral entre ambientes.

• Coleta de credenciais: As credenciais recuperadas representam um alto risco de aumento de privilégios e acesso não autorizado aos sistemas de produção.

Recomendações de segurança da BeVigil

A BeVigil propôs uma série de estratégias de mitigação para remediar a vulnerabilidade e evitar problemas semelhantes:

• Desativação imediata de endpoints vulneráveis: remova ou refatore os recursos de acesso dinâmico a arquivos para eliminar os recursos arbitrários de leitura de arquivos.
• Validação estrita de entrada: limpe e valide todas as entradas do usuário para evitar ataques de passagem de diretório e impor restrições de caminho.
• Limitar permissões do sistema de arquivos: configure os aplicativos para serem executados com o mínimo de privilégios necessários, restringindo o acesso aos diretórios críticos.
• Desativar lista de diretórios: desative a indexação de diretórios nos servidores para evitar a exposição das estruturas de arquivos.
• Rotação e revogação de credenciais: Alterne imediatamente todos os segredos expostos e adote um sistema seguro de gerenciamento de segredos.
• Implemente o registro e o monitoramento: habilite o registro e o monitoramento robustos para detectar padrões de acesso incomuns e responder às ameaças de forma proativa.

Conclusão

Essa descoberta ressalta as graves implicações das vulnerabilidades de acesso não autenticado em ativos da web expostos publicamente. Ao adotar uma postura de segurança proativa, aplicar os princípios do menor privilégio e integrar ferramentas como o BeVigil, as organizações podem fortalecer seus ecossistemas digitais e proteger ativos essenciais da exploração.