API安全漏洞仍然是企业的眼中钉,访问控制漏洞几乎成了高危漏洞的代名词。
API作为系统功能之间的关键通信方法,在网络服务中扮演着关键作用,已经成为网络攻击的热门目标。根据API安全公司Wallarm最新发布的“2022年一季度API漏洞”报告,第一季度共发现并报告了48个与API相关的漏洞(下图):
报告显示,48个API相关漏洞中18个被认为是高风险(CVSS v3分数为8.1到10),19个被标记为中等严重性。
报告评出了CVSSv3评分超过9分的五大最危险API漏洞,其中Spring4Shell和Veeam RCE高居2022年第一季度API漏洞榜单榜首。(下图,其中一个7.5分入选是因为该漏洞同时出现在OWASP TOP 10和OWASP API TOP10榜单中):
报告还在多家企业的30个产品中发现了48个API漏洞中的一个或多个漏洞(下图):
头号威胁:Spring4Shell
报告合并了OWASP Top 10和OWASP API Security Top 10,将最重要的API威胁披露归类为与访问控制损坏(或功能级别授权损坏,取决于OWASP标准)以及与注入攻击有关的问题。
虽然加密失败、不安全设计、过多数据暴露和错误配置在内的安全漏洞也出现在榜单中,但2022年第一季度披露的最危险、被利用最多的API漏洞都与注入攻击、不正确的授权或完全绕过以及不正确的权限分配有关。
在2022年第一季度披露的最危险的API漏洞榜单中,位居榜首的“头号威胁”是CVE-2022-22947,也称为“Spring4Shell”。
Spring4Shell与两个漏洞有关——CVE-2022-22963,Spring Cloud Function中的SpEL表达式注入漏洞,以及CVE-2022-22947,导致Spring Framework基于Java的核心模块中的远程代码执行(RCE)的代码注入攻击。
一位开发人员在3月份公开发布了针对该严重漏洞的漏洞利用代码,尽管很快被删除,但已经发布的有效RCE代码导致Spring4Shell成为来不及打补丁的开发人员和安全人员的噩梦。
由于Spring框架非常流行,其潜在破坏力与Log4j旗鼓相当。微软和CISA都发出了该零日漏洞的利用警告,但攻击者随后还是利用该漏洞急速扩张了Mirai僵尸网络。
企业软件成头号目标
API漏洞榜单排名第二的漏洞是CVE-2022-26501 (CVSS 9.8),它是Veeam Backup and Replication中的一个不正确的身份验证漏洞,允许攻击者在没有身份验证的情况下远程执行任意代码。Veeam拥有超过40万名客户,其中许多是企业客户。
根据Positive Technologies研究员Nikita Petrov的说法,CVE-2022-26501有可能“在实际攻击中被利用,并使许多企业面临重大风险”。
排名第三的漏洞(CVE-2022-23131)影响了企业级开源网络工具Zabbix,CVSS得分高达9.8分。当使用启用SAML SSO身份验证的非默认设置时,攻击者只需要知道管理员的用户名,就可在该工具的前端实施权限提升和管理员会话劫持攻击。
排名第四的漏洞是CVE-2022-24327,这是一个较低级别的错误,其CVSS得分为7.8,但仍被视为严重漏洞。该漏洞在JetBrains套件中心中发现,该漏洞与集成到套件中心的开发人员帐户相关,会无意中暴露具有过多权限的API密钥,从而可能导致帐户接管或劫持。
报告指出有一种API安全威胁——“CWE-639:通过用户控制的密钥绕过授权”是当今许多网络攻击的共同特征,这些问题与系统授权功能相关,导致密钥值被篡改,并且用户可以在未经许可的情况下访问其他用户的数据或记录。
最后,值得留意的是,开源黑客工具GoTestWAF引入了API安全平台评估能力,模拟OWASP和API漏洞来测试API安全防御能力。
文章来源:GoUpSec
黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途及盈利等目的,否则后果自行承担!
如侵权请私聊我们删文
END
多一个点在看多一条小鱼干