欢迎大家围观小阑精心整理的API安全最新资讯,在这里你能看到最专业、最前沿的API安全技术和产业资讯,我们提供关于全球API安全资讯与信息安全深度观察。
本周,我们带来的分享如下:
• Veeam 数据备份解决方案中已修补两个严重漏洞
• 流行的Parse Server API服务器模块中的远程代码执行 (RCE) 漏洞
• 关于不安全 API 如何威胁移动应用程序安全
• 攻击者如何越来越多的观点专注于 API 作为首选的攻击向量
Veeam 数据备份解决方案中的两个严重漏洞
Veeam 最近公布了其用于备份虚拟环境的备份和复制产品中的两个严重漏洞。这些漏洞被跟踪为 CVE-2022-26500 和 CVE-2022-26501,CVSS 得分均为 9.8,并且可能允许攻击者远程执行代码。他们产品的所有版本都受到影响,但版本 10 和 11 的补丁已经发布。建议版本 9 的用户升级到受支持的版本。
Veeam 产品在 TCP 端口上提供远程访问服务9380,遗憾的是该服务未对远程用户进行身份验证。攻击者可以使用远程访问服务访问内部 API,包括上传和执行恶意代码。
这是一个再熟悉不过的API2:2019 示例——身份验证失败——始终确保所有API 端点都强制执行身份验证,即使它们仅在内部接口上公开。
Parse Server 模块中的远程代码执行漏洞
本周的第二个漏洞也是一个远程代码执行 (RCE) 漏洞,这次是针对 Node/Express 应用程序的流行 Parse Server API 服务器模块。该漏洞被跟踪为 CVE-2022-24760,在 CVSS 量表上得分为(不)完美 10。4.10.7以下版本均受此漏洞影响,建议用户通过NPM包管理器升级包版本。
Parse Server 是 Node/Express 的一个流行的API服务器模块,它的用户被敦促立即对远程代码执行(RCE) 漏洞进行修复。
该漏洞由安全研究人员 Mikhail Shcherbakov、Cristian-Alexandru Staicu 和 Musard Balliu 发现,影响parse-server NPM 包,版本低于 4.10.7。
在3 月 11 日在 GitHub 上发布的安全公告中,该团队表示,RCE漏洞是在 MongoDB 的默认配置中发现的,并且已在 Ubuntu 和 Windows 版本的软件中得到确认。
该漏洞起源于一个原型污染漏洞,该漏洞可以允许 RCE、跨站点脚本 (XSS) 和 SQL 注入攻击。在这种情况下,罪魁祸首是DatabaseController.js模块中的一个函数,它影响了 MongoDB 和 PostgreSQL 框架,尽管任何数据库后端都可能受到影响。
原型污染
游戏中安全问题的根本原因是原型污染。
当攻击者滥用 JavaScript 编程语言的规则来破坏应用程序时,就会发生原型污染——这为包括远程代码执行、各种形式的跨站点脚本( XSS ) 攻击、SQL 注入等在内的漏洞打开了大门。
Parse Server 是用于运行 Node.js 的服务器和系统的开源后端软件。它既可以独立运行,也可以与其他 Web 应用程序框架(包括 MongoDB 和 PostgreSQL)一起运行。
API 的兴起如何给移动应用程序带来风险
最近在银行、金融科技和加密货币交易所的研究发现,大多数应用程序使用硬编码的 API 密钥或令牌。此外,后端 API 允许研究人员更改 PIN 码并在账户之间转移资金。即使要开发一个完全安全的移动应用程序,由于后端 API 中的不安全性,最终用户仍然容易受到攻击——一条链只有最薄弱的环节才能强大。
作者强调了 API 越来越不安全的三个主要原因:
• API 的扩散和分散管理:API的数量正在以越来越快的速度增长,同时它们正在以一种特殊或分散的方式在标准控制和保护之外进行开发。
• 保护 API 的技能短缺:技术和平台的激增增加了技术人员维持技能的负担。
• 通用的 AppSec 工具不足以保护 API:API 需要专业的安全测试工具,传统的 AppSec 工具无法胜任保护 API 的工作。
作者得出的结论是,解决 API 安全问题的第一种方法是通过自动化驱动 DevSecOps,特别是:
• 了解期望的安全结果:共同商定产品的期望安全态势。
• 安全性左移:开发人员必须在 API 开发周期中尽早构建 API 安全性。
• 自动化安全实施:自动化大部分安全流程以消除手动依赖项。
• 集成到现有工作流程中:充分利用自动化,例如 CI/CD 系统。
• 立即验证和验证所需的安全结果:自动检查安全状况。
攻击者越来越关注 API 作为攻击媒介
近期,一篇文章就API 如何成为攻击者的首选攻击媒介发表了看法。
Cequence Security 发布了一份报告,显示开发人员和攻击者都已转向API。在 2021 年下半年分析的 211 亿笔交易中,有 140 亿笔(70%)是 API 交易。
作者确定了三种新兴的攻击类别,即:
• 礼品卡欺诈、贷款欺诈和付款欺诈:
7 月下旬,Cequence 发现零售客户受到的 ATO 平均每天 70 万次攻击增加了 2800%,其最终目标是以“刮转转售”或“偷窃然后购买”的形式进行多种形式的礼品卡欺诈商品。
在调查贷款申请欺诈攻击时,发现攻击者使用 Gmail 等公共电子邮件域上的子帐户功能创建 3,000 个电子邮件地址,然后用于提交分布在多个 IP 地址的多个贷款申请。这一发现发现了大约 45,000 份欺诈性贷款申请。
至于支付欺诈,研究人员发现了攻击者以 API 为目标,并通过 20,000 多个电话号码定期进行支付授权调用,所有电话号码均来自三个邮政编码,占总支付流量的 5.1%。CQ Prime 威胁研究团队分析了情况并在支付欺诈成功之前关闭了攻击。
• 机器人即服务的商品化:
机器人即服务 (BaaS) 允许任何人购买、租用和订阅恶意机器人网络,并使用它来获取高需求物品。Cequence 零售客户经常进行短期炒作销售,这通常会在持续几个小时的典型产品发布中产生大约 300 万笔交易。机器人将流量推高至 36M (1200%) 至 129M (4300%),高于正常水平,其中高达 86% 的交易是恶意的。
• 账户接管:
CQ Prime 威胁研究团队帮助零售客户在三个月内抵御了一系列攻击,这些攻击代表了攻击者为了取得成功而改变其努力的程度。攻击模式从大规模(恶意ATO占登录流量的 80%)转变为低、慢和完美交易的相反模式。
感谢 APIsecurity.io 提供相关内容
关于星阑
星阑科技基于AI深度感知和强大的自适应机器学习技术,帮助用户迅速发现并解决面临的安全风险和外部威胁,并凭借持续的创新理念和以实战攻防为核心的安全能力,发展成为国内人工智能、信息安全领域的双料科技公司。为解决API安全问题,公司从攻防能力、大数据分析能力及云原生技术体系出发,提供全景化API识别、API高级威胁检测、复杂行为分析等能力,构建API Runtime Protection体系。
星阑科技产品——萤火 (API Intelligence) 拥有不同应用场景的解决方案,适配服务器、容器集群、微服务架构以及云平台等多种架构。通过API资产梳理、漏洞管理、威胁监测、运营与响应能力,解决企业API漏洞入侵、数据泄露两大核心风险。
往期 · 推荐
原文始发于微信公众号(星阑科技):API NEWS | API 的兴起如何给移动应用程序带来风险?