ИИ обнаружил 15 уязвимостей в Easy!Appointments
Как машины ищут уязвимости лучше людей.
Компания Palo Alto Networks активно разрабатывает технологии безопасности с использованием искусственного интеллекта. В 2023 году исследователи компании создали автоматизированный инструмент для обнаружения уязвимостей типа BOLA (Broken Object-Level Authorization). Этот инструмент был применен к проекту с открытым исходным кодом Easy!Appointments, где было выявлено 15 уязвимостей.
Easy!Appointments — популярное приложение для управления и планирования встреч, синхронизируемое с Google Calendar и CalDAV. Обнаруженные уязвимости позволяли пользователям с низким уровнем привилегий просматривать и изменять встречи, созданные более привилегированными пользователями, такими как администраторы и поставщики услуг.
Все уязвимости, классифицированные как CVE-2023-3285 до CVE-2023-3290 и CVE-2023-38047 до CVE-2023-38055, были устранены в версии 1.5.0. Организациям настоятельно рекомендуется обновить Easy!Appointments до этой версии или новее.
В числе обнаруженных проблем: возможность создания и удаления привилегированных пользователей, изменения настроек системы, а также управления данными других пользователей. Например, уязвимость CVE-2023-38049 позволяет низкопривилегированному пользователю изменять или удалять встречи, созданные администратором.
Инструмент обнаружения уязвимостей основан на использовании искусственного интеллекта. Это позволяет эффективно выявлять BOLA уязвимости, которые сложно обнаружить вручную из-за сложности логики современных веб-приложений.
BOLA (Broken Object-Level Authorization), также известная как IDOR (Insecure Direct Object References), — это распространенный тип уязвимости в современных API и веб-приложениях. Она занимает первое место в рейтинге рисков OWASP API Top 10 и четвертое место среди наиболее часто сообщаемых уязвимостей на платформе HackerOne.
BOLA возникает, когда приложение не проверяет, имеет ли пользователь необходимые права для доступа, изменения или удаления объекта. Это может привести к утечке данных, их изменению или даже полному захвату учетных записей.