API NEWS | 关于IBM云中的供应链漏洞

本周，我们带来的分享如下：

• 关于IBM云平台中的供应链漏洞

• Algolia门户中的硬编码API密钥漏洞

• JSON-based SQL attack on WAFs 漏洞

• 为什么对影子API的攻击逐渐增加

Wiz Research在PostgreSQL的IBM云数据库中发现了Hell’s Keychain，这是首个云服务提供商供应链漏洞。该漏洞由三个公开的 chain of secrets 组成，这些 chain of secrets 可以与隔离性差的网络相结合，执行对底层PostgreSQL数据库的访问。

• Kubernetes服务帐户令牌：研究人员对PostgreSQL数据库使用SQL注入攻击来访问主机上的命令shell，他们发现能够从那里检查环境并发现Kubernetes令牌，并允许访问Kubernetes集群。

• 容器注册表密码：研究人员随后发现了一个包含私有容器注册表的各种访问凭据的秘密文件。虽然不是此漏洞的核心，可能是流氓或恶意图像，但此缺陷可能使攻击者能够访问和修改私有容器注册表。

• CI/CD服务器凭据：研究人员随后发现，他们可以扫描容器映像以获取包含CI/CD系统的根凭据的秘密，其中还包括FTP凭据和内部工件存储库凭据。

• 对环境的秘密进行持续监控——请务必扫描代码和容器存储库、CI/CD管道、文档和脚本文件。

• 使用提供的网络控件来隔离你的生产环境——尽管可以访问所有凭据，但使用精心设计的网络分割可能会阻止此漏洞。

• 锁定容器注册表—限制对容器注册表的访问，以防止容器损坏。

近期，CloudSEK的研究人员发现，超过1550个应用程序泄露了Algolia API密钥，其中32个具有硬编码密钥，可以允许攻击者窃取或删除数百万用户的数据。这种类型的泄露非常严重，它允许攻击者完全访问租户，包括读取私人用户信息以及使用和搜索历史记录的能力。

• 确保尽快撤销凭证。

• 客户端的设计和实现要考虑到安全性——API凭据高度敏感，应安全存储。

• 在与敏感API通信时，请使用代理模式来防止直接访问敏感API，相反，允许暴露的API代表你进行此通信，以防止高灵敏度凭据的泄露。

本质上，bypass 的工作原理如下：WAF可以通过在传入的有效负载中进行简单的模式匹配来防止SQL注入。研究人员发现，他可以利用大多数SQL引擎对JSON的内置支持来绕过WAF。这凸显了负面安全模型的危险和使用阻止列表的问题。

• 安全工具在解决新功能启用的新攻击载体方面将始终处于倒退状态。

• 消极安全模型总是缺乏准确性，容易导致错过攻击。在可能的情况下，考虑使用正安全模型来对照精确的允许列表工作。

随着API数量的持续增加，影子API的主题是安全团队越来越担心的问题。由于创建和部署API相对容易，产品开发人员选择在标准、受管理的流程之外发布API，这些影子API的数量有所增加。目前攻击者已经意识到这一事实，并将精力集中在这些API上，这些API的设计、保护和监控可能不那么严格。

建议是API治理（防止新的影子API）和API发现（识别现有的影子API）的组合策略。

感谢 APIsecurity.io 提供相关内容