EA игнорира уязвимости на домейни в продължение на месеци въпреки предупрежденията и нарушенията

Игралният гигант Electronic Arts е изправен пред още повече критики от страна на индустрията за киберсигурност, след като игнорира предупрежденията на изследователите по киберсигурност през декември 2020 г., че множество уязвимости оставят компанията сериозно изложена на хакери.

Служители от израелската фирма за киберсигурност Cyberpion се обърнаха към EA в края на миналата година, за да ги информират за множество домейни, които могат да бъдат обект на поглъщане, както и за неправилно конфигурирани и потенциално неизвестни активи заедно с домейни с неправилно конфигурирани DNS записи.

Но дори след като изпрати на EA подробен документ за проблемите и доказателство за концепцията, съоснователят на Cyberpion Ори Енгелберг каза ZDNet че EA не е направил нищо за справяне с проблемите.

Енгелберг каза, че EA е отговорил с потвърждение, че е получил информацията за тези уязвимости и каза, че ще се свържат с Cyberpion, ако имат някакви допълнителни въпроси. Но никога не го направиха.

“Проверяваме целия интернет, но като геймъри сме клиенти на EA. Толкова много от нашите служители играят FIFA и други игри. Обичаме EA, затова искахме да се свържем с тях, за да помогнем, защото тяхното онлайн присъствие е значително”, каза Енгелберг.

“Това, което открихме, е възможността да поемем активите на EA. Това е нещо повече от просто поемане на активите на EA, става въпрос за това какво може да се направи с тези активи, защото ние познаваме EA. Ние знаем, че ако някой може да изпраща имейли от домейни на EA за нас, клиентите или доставчиците на EA или за служителите на EA, тогава това е най-лесната врата за компанията. Дори не е врата. Това е нещо по-просто. ”

Той обясни, че като използват откраднатите домейни, злонамерени участници могат да изпращат имейли, за които се твърди, че са от EA, и да помолят хората да изпращат информация за акаунта или други данни. EA вече беше изправен пред реакция миналата седмица, след като беше разкрито, че „верига от уязвимости“ е могла да позволи на нападателите да получат достъп до лична информация и да поемат контрола над акаунтите.

През последните седмици, Дънна платка докладвана че огромното нарушение на данните, което EA е претърпяло, се дължи на способността на хакерите да злоупотребяват със Slack привилегии, за да получат достъп до акаунт.

Хакери във форуми се хвалеха за кражба на 780 GB данни от компанията и получаване на пълен достъп до сървъри за съвпадение на FIFA 21, API ключове на FIFA 22 и някои комплекти за разработка на софтуер за Microsoft Xbox и Sony. Те също така претендират да имат много повече, включително изходния код и инструменти за отстраняване на грешки за Frostbite, който захранва най-популярните игри на EA като Battlefield, FIFA и Madden.

Но преди пробива през Slack, Енгелберг и неговият екип многократно са предупреждавали EA, че поне шест – сега повече от 10 според Енгелберг – уязвимости оставят множество домейни и други активи безплатни за вземане.

Домейни като occo.ea.com бяха уязвими за поглъщане и екипът на Cyberpion намери 15 EA сайтове – като wwe-forums.ea.com, api.pogo.com и api.alphe.pogo.com – обслужващи страници за вход през HTTP.

Stats.ea-europe.com обслужва несъответстващ сертификат и неговият DNS запис сочи към IP адрес на сайт, който не е EA, докато easportsfootball.it, както и easoweb01.ea.com обслужват сертификати, които са изтекли съответно преди седем и девет години.

Изследователите на Cyberpion откриха, че SOA записът на ea-europe.com се отнася до авторитетен сървър за имена, който има частен IP адрес. Локален DNS сървър на този адрес може да върне какъвто и да е адрес, който операторът му реши за eaeurope.com.

Те също така идентифицираха над 500 неправилни конфигурации на DNS в домейните на EA.

Енгелберг отбеляза, че е виждал десетки примери за хакери, които превземат домейна на организация и изпращат имейли от този домейн на доставчиците като начин за разпространение на атака.

„Доставчиците са дори по-уязвими от служителите и клиентите, тъй като е много често те да получават имейли от хора в клиентската организация, които не познават“, обясни Енгелберг.

“Това е нещо, което е много лесно да се злоупотреби, защото някой може да поеме външна инфраструктура, чрез която сега е възможно да изпраща имейли, да издава валиден сертификат, да управлява сайт, който изглежда точно като влизането в EA. Това е EA’s сертификат, това е домейнът на EA. Също така беше възможно да се изпращат и четат имейли от домейните. “

Енгелберг каза, че е симулирал атака за EA през декември, но компанията никога не е обърнала внимание на проблема, позволявайки му да се влоши, тъй като повече активи стават уязвими за поглъщане.

Докато Енгелбърг заяви, че не е изненадан, че EA е бил хакнат през Slack по-рано този месец, той съчувства на тежкото им положение, отбелязвайки, че екипът за сигурност на компанията вероятно има стотици екшъни, за да се справи.

Проблемите, уловени от Cyberpion, включват и веригата за доставки на EA, което ги прави по-трудни за решаване, добави Енгелберг.

“В повечето случаи става въпрос за свързване с някаква инфраструктура, която не се контролира от вашата организация. Основното нещо, което може да се направи, е да се прекъсне връзката. Още преди да разберете кой притежава или създава такива”, каза той.

“Просто изключете актива. Имате актив. Той може да бъде поет, затова го изключете. Изтрийте всички DNS записи и просто се уверете, че той вече не е активен.”

Уязвимости като тези, открити от Cyberpion, са често срещани в интернет и Енгелберг обясни, че екипът му е открил десетки компании от Fortune 500 с подобни проблеми.

Но според новия доклад на Akamai Gaming in a Pandemic, този проблем е голям в игралната индустрия. Атаки на уеб приложения, насочени към индустрията на видеоигрите нарасна с 340% през 2020 г., по-висок процент от всеки друг сектор по време на пандемията на COVID-19.

По принцип става въпрос за управление на повърхността на външната атака. В крайна сметка предприятията не знаят за целия си периметър. Те се управляват разпределено. Някой може да създаде актив и това няма да стане чрез ИТ или екипите за сигурност “, каза Енгелберг.

„Дори активи, които са известни на екипа по сигурността, може да имат промени, за които те не знаят. Ако хакерите могат да постигнат това, което искат, без да проникват в организацията, но чрез хакване на трета, четвърта или пета страна, с която сте свързани, защо не? Нямате видимост за атаката и ще намерите данните си в тъмната мрежа след три години. ”

Съоснователят на K2 Cyber ​​Security, Jayant Shukla, се съгласи с мнението на Cyberpion по въпросите и заяви, че повечето от уязвимостите произтичат от не актуализиране на конфигурациите или премахване на поддомейни, когато те вече не са необходими.

Шукла отбеляза, че макар невалидните сертификати да са легитимен проблем и ще попречат на потребителите със съзнание за сигурност да не посещават сайта, това не дава на нападателите контрол над домейна. Но въпросът с DNS записите е от решаващо значение за всяка компания, каза Шукла пред ZDNet.

„В крайна сметка нито една от тези уязвимости не застрашава взаимодействията, насочени към клиентите, но извеждането от експлоатация на неизползвани поддомейни и актуализирането на сертификатите ще допринесе много за гарантиране на сигурността на мрежовите операции“, каза Шукла.

Шукла също така постави под въпрос защо EA пусна контрол върху поддомена occo.ea.com, спекулирайки, че той не се използва често от EA.

“Процесът на въвеждане в експлоатация на поддомейн се следва от всички, но това не се случва, когато поддомейнът е изведен от експлоатация. Това изглежда са изложили създателите на доклада”, добави Шукла.

EA заяви, че ще има пълен отговор, когато се свърже за коментар от ZDNet но никога не е връщал обаждания или имейли след това. Системата на Cyberpion установи, че EA е отстранила 7 от критичните проблеми в техните активи през последните 48 часа, след като са били достигнати за коментар.

Публикациите се превеждат автоматично с google translate

Източник: www.zdnet.com