API 安全:访问控制破坏和注入攻击是2022年的最大企业威胁
编译:代码卫士
01严重的API威胁
该公司结合 OWASP Top 10和OWASP API安全Top 10标准,将最严重的API威胁披露分为为与访问控制破坏(或功能级别授权破坏,根据OWASP标准确定)以及注入攻击相关的问题。
虽然清单上还包括其它缺陷如加密失败、不安全的设计、数据过度暴露和配置不当等,但2022年第一季度披露的最危险的、利用最多的API漏洞与注入攻击、不正确的授权或完全绕过和不正确的权限分配有关。
2022年第一季度最严重的漏洞是CVE-2022-22947即 “Spring4Shell”。
Spring4Shell 和两个漏洞有关,即CVE-2022-22963(位于Spring Cloud Function 中的SpEL 表达式注入漏洞)和CVE-2022=22947(可导致在Spring Framework中基于Java 的Core 模块执行远程代码的命令注入攻击)。
3月份,一名开发人员公开发布了Spring4Shell 的利用代码,而且尽管他随后迅速删除,但发布起作用的RCE代码导致Spring4Shell 成为需要快速应用Spring紧急补丁的开发人员面临的问题。
由于Spring Framework的流行度,因此该漏洞的严重程度被比作Log4j。在此之前,微软和CISA均提醒注意该0day缺陷的活跃利用。攻击者随后利用该漏洞构建Mirai僵尸网络。
02企业技术遭攻击
API漏洞清单上排名第二的漏洞是CVE-2022-26501(CVSS评分9.8),它是位于 Veeam Backup and Replication 中的认证不当漏洞,可导致攻击者在未认证的情况下远程执行任意代码。Veeam 支持40多万客户,其中很多是企业客户。
Positive Technologies 公司的研究员 Nikita Petrov 发现了该漏洞,他指出该漏洞可能“被用于真实攻击中,使很多组织机构面临严重风险。”
清单上名列第三的漏洞是CVE-2022-23131,它的CVSS评分为9.8,影响企业级开源网络工具 Zabbix。当用户使用启动SAML SSO 认证的非默认设置时,该工具的前端易受提权和管理员会话劫持影响,前提是攻击者知道管理员的用户名。
名列第四的是CVE-2022-24327,虽然CVSS评分为7.8但仍被视作严重漏洞。该漏洞位于 JetBrains 套件Hub中,和开发人员账户集成到hub中有关,这样做不可避免地暴露了具有过多权限的API密钥,从而造成账户接管或劫持后果。
Wallarm公司还将API安全威胁与很多网络攻击中的常见分类绑定。Mitre将其描述为“CWE-639:通过用户控制的密钥绕过授权”。该问题与系统授权功能有关,可导致密钥值被篡改以及用户在不需授权的情况下访问其它用户的数据或记录。
API作为函数之间的重要通信方法,在现代网络和服务中发挥着重要作用,只要它们还在使用,则仍然是网络攻击者的目标。最近,开源hacking工具 Go TestWAF 推出了API 安全平台评估能力,模仿OWASP和API利用测试API安全防御能力。
Travis CI API 漏洞未修复,可暴露用户机密访问令牌引发供应链攻击
合勤科技修复四个高危漏洞,影响AP、API控制器和防火墙设备
最常被利用的三大 API 漏洞:是什么、为什么、如何阻止?
https://portswigger.net/daily-swig/api-security-broken-access-controls-injection-attacks-plague-the-enterprise-security-landscape-in-2022
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。