SOA and Web Services often use a registry to perform look up, get schema information, and metadata about services. A poisoned registry can redirect (think phishing for servers) the service requester to a malicious service provider, provide incorrect information in schema or metadata, and delete information about service provider interfaces.
Description
Attack Execution Flow
4
1
Step 1
Explore[Find a target SOA or Web Service] The adversary must first indentify a target SOA or Web Service.
AI Translation
[Trova un target SOA o Web Service] L'attore malevolo deve prima identificare un target SOA o Web Service.
2
Step 2
Experiment[Determine desired outcome] Because poisoning a web service registry can have different outcomes, the adversary must decide how they wish to effect the webservice.
An adversary can perform a denial of service attack on a web service.
An adversary can redirect requests or responses to a malicious service.
AI Translation
[Determinare l'esito desiderato] Poiché la contaminazione di un registro di servizi web può avere esiti diversi, l'attaccante deve decidere come desidera influenzare il webservice.
Un attaccante può eseguire un attacco di denial of service su un servizio web.
Un attaccante può reindirizzare le richieste o le risposte a un servizio dannoso.
Attack Techniques
-
An adversary can perform a denial of service attack on a web service.
-
An adversary can redirect requests or responses to a malicious service.IT: Un avversario può eseguire un attacco di denial of service su un servizio web.
3
Step 3
Experiment[Determine if a malicious service needs to be created] If the adversary wishes to redirect requests or responses, they will need to create a malicious service to redirect to.
Create a service to that requests are sent to in addition to the legitimate service and simply record the requests.
Create a service that will give malicious responses to a service provider.
Act as a malicious service provider and respond to requests in an arbitrary way.
AI Translation
[Determinare se sia necessario creare un servizio malevolo] Se l’avversario desidera reindirizzare richieste o risposte, dovrà creare un servizio malevolo a cui reindirizzare.
Creare un servizio a cui vengano inviate le richieste oltre al servizio legittimo e semplicemente registrare le richieste.
Creare un servizio che fornisca risposte malevoli a un fornitore di servizi.
Agire come un fornitore di servizi malevolo e rispondere alle richieste in modo arbitrario.
Attack Techniques
-
Create a service that will give malicious responses to a service provider.
-
Create a service to that requests are sent to in addition to the legitimate service and simply record the requests.IT: Creare un servizio che fornisca risposte dannose a un fornitore di servizi.
-
Act as a malicious service provider and respond to requests in an arbitrary way.IT: Creare un servizio che fornisca risposte dannose a un fornitore di servizi.
4
Step 4
Exploit[Poison Web Service Registry] Based on the desired outcome, poison the web service registry. This is done by altering the data at rest in the registry or uploading malicious content by spoofing a service provider.
Intercept and change WS-Adressing headers to route to a malicious service or service provider.
Provide incorrect information in schema or metadata to cause a denial of service.
Delete information about service procider interfaces to cause a denial of service.
AI Translation
[Poison Web Service Registry] In base all'obiettivo desiderato, avvelena il registro dei servizi web. Ciò si ottiene modificando i dati a riposo nel registro o caricando contenuti dannosi tramite spoofing di un fornitore di servizi.
Intercetta e modifica gli header WS-Adressing per instradare verso un servizio o fornitore di servizi dannoso.
Fornisci informazioni errate nello schema o nei metadata per causare un denial of service.
Elimina le informazioni sulle interfacce del fornitore di servizi per causare un denial of service.
Attack Techniques
-
Intercept and change WS-Adressing headers to route to a malicious service or service provider.
-
Provide incorrect information in schema or metadata to cause a denial of service.IT: Intercetta e modifica gli header WS-Adressing per instradare verso un servizio o fornitore di servizi malevolo.
-
Delete information about service procider interfaces to cause a denial of service.IT: Intercetta e modifica gli header WS-Adressing per instradare verso un servizio o fornitore di servizi malevolo.
Mitigations
3
Design: Enforce Principle Of Least Privilege
Design: Harden Registry Server And File Access Permissions
Implementation: Implement Communications To And From The Registry Using Secure Protocols
Consequences
Security Scopes Affected
Availability
Confidentiality
Integrity
Potential Impacts
Execute Unauthorized Commands
Modify Data
Read Data
Relationships
Parent CAPECs
Resources Required
1
Capability to directly or indirectly modify registry resources