2022最危险的五个API安全漏洞

API安全漏洞仍然是企业的眼中钉,访问控制漏洞几乎成了高危漏洞的代名词。

API作为系统功能之间的关键通信方法,在网络服务中扮演着关键作用,已经成为网络攻击的热门目标。根据API安全公司Wallarm最新发布的“2022年一季度API漏洞”报告,第一季度共发现并报告了48个与API相关的漏洞(下图):

报告显示,48个API相关漏洞中18个被认为是高风险(CVSS v3分数为8.1到10),19个被标记为中等严重性。

报告评出了CVSSv3评分超过9分的五大最危险API漏洞,其中Spring4Shell和Veeam RCE高居2022年第一季度API漏洞榜单榜首。(下图,其中一个7.5分入选是因为该漏洞同时出现在OWASP TOP 10和OWASP API TOP10榜单中):

报告还在多家企业的30个产品中发现了48个API漏洞中的一个或多个漏洞(下图):

头号威胁:Spring4Shell

报告合并了OWASP Top 10和OWASP API Security Top 10,将最重要的API威胁披露归类为与访问控制损坏(或功能级别授权损坏,取决于OWASP标准)以及与注入攻击有关的问题。

虽然加密失败、不安全设计、过多数据暴露和错误配置在内的安全漏洞也出现在榜单中,但2022年第一季度披露的最危险、被利用最多的API漏洞都与注入攻击、不正确的授权或完全绕过以及不正确的权限分配有关。

在2022年第一季度披露的最危险的API漏洞榜单中,位居榜首的“头号威胁”是CVE-2022-22947,也称为“Spring4Shell”。

Spring4Shell与两个漏洞有关——CVE-2022-22963,Spring Cloud Function中的SpEL表达式注入漏洞,以及CVE-2022-22947,导致Spring Framework基于Java的核心模块中的远程代码执行(RCE)的代码注入攻击。

一位开发人员在3月份公开发布了针对该严重漏洞的漏洞利用代码,尽管很快被删除,但已经发布的有效RCE代码导致Spring4Shell成为来不及打补丁的开发人员和安全人员的噩梦。

由于Spring框架非常流行,其潜在破坏力与Log4j旗鼓相当。微软和CISA都发出了该零日漏洞的利用警告,但攻击者随后还是利用该漏洞急速扩张了Mirai僵尸网络。

企业软件成头号目标

API漏洞榜单排名第二的漏洞是CVE-2022-26501 (CVSS 9.8),它是Veeam Backup and Replication中的一个不正确的身份验证漏洞,允许攻击者在没有身份验证的情况下远程执行任意代码。Veeam拥有超过40万名客户,其中许多是企业客户。

根据Positive Technologies研究员Nikita Petrov的说法,CVE-2022-26501有可能“在实际攻击中被利用,并使许多企业面临重大风险”。

排名第三的漏洞(CVE-2022-23131)影响了企业级开源网络工具Zabbix,CVSS得分高达9.8分。当使用启用SAML SSO身份验证的非默认设置时,攻击者只需要知道管理员的用户名,就可在该工具的前端实施权限提升和管理员会话劫持攻击。

排名第四的漏洞是CVE-2022-24327,这是一个较低级别的错误,其CVSS得分为7.8,但仍被视为严重漏洞。该漏洞在JetBrains套件中心中发现,该漏洞与集成到套件中心的开发人员帐户相关,会无意中暴露具有过多权限的API密钥,从而可能导致帐户接管或劫持。

报告指出有一种API安全威胁——“CWE-639:通过用户控制的密钥绕过授权”是当今许多网络攻击的共同特征,这些问题与系统授权功能相关,导致密钥值被篡改,并且用户可以在未经许可的情况下访问其他用户的数据或记录。

最后,值得留意的是,开源黑客工具GoTestWAF引入了API安全平台评估能力,模拟OWASP和API漏洞来测试API安全防御能力。

前一篇议题前瞻 | CCS&腾讯安全应急响应中心 - 数据安全分论坛
后一篇周刊 | 网安大事回顾(2022.8.15—2022.8.21)