需要云计算吗? 即刻开始体验

钻过安全漏洞:应用程序和 API 攻击呈上升趋势

Akamai Wave Blue

寫於

Badette TribbeySteve Winterfeld

April 18, 2023

Badette 目前是 Akamai Technologies 的高级技术作家,她将技术发现转化为了威胁报告和其他长篇内容中引人注目的故事。

Steve Winterfeld 是 Akamai 咨询业务部的首席信息安全官。再加入 Akamai 之前,他曾经担任过 Nordstrom 银行的首席信息安全官,以及 Charles Schwab 的事件响应和威胁情报总监。Steve 专注于确保我们的合作伙伴成功保证其客户的安全,并且确定我们应集中自身能力对哪些领域进行攻坚。Steve 出版过一本有关网络战的书籍,拥有 CISSP、ITIL 和 PMP 认证。

Web 应用程序和 API 攻击仍然是企业必须设法防御的重大威胁,而要想降低风险,及时修补安全漏洞就变得至关重要。
Web 应用程序和 API 攻击仍然是企业必须设法防御的重大威胁,而要想降低风险,及时修补安全漏洞就变得至关重要。

执行摘要

  • Web 应用程序和 API 攻击呈上升趋势,导致已识别的攻击流量增长了约 2.5 倍。这种增长可能是多种因素共同推动的结果,其中包括 API 的广泛采用以及威胁活动的日益猖獗。

  • Web 应用程序和 API 攻击增长之所以如此迅速,本地文件包含 (LFI) 攻击媒介在其中发挥着重要作用。此类攻击的上升趋势非常明显,同比增长了 193%,与 2021 年相比激增了 3 倍。

  •  以 API 业务逻辑为导向的 API 攻击非常复杂,很难检测和抵御。因此,也就很难在单独的请求中得以确定。 

  • 在未来数年之内,服务器端请求伪造 (SSRF) 和服务器端注入模板 (SSTI) 等新型攻击手段将继续给企业带来重大威胁。攻击者将 SSTI 手段与严重的 零日 漏洞(如 Log4Shell 和 Spring4Shell)结合在一起使用,从而实现了远程代码执行。

  • 制造业这样的关键行业通常不需要像直接面向消费者的零售业那样处理大体量、大规模的 API 请求,但却出现了此类攻击激增的情况。

在我们的新一期互联网现状/安全性报告《钻过安全漏洞:应用程序和 API 攻击呈上升趋势》中,介绍了根据 Web 应用程序和 API 流量分析总结出的攻击趋势、严重漏洞以及不同行业面临的风险。除了调查结果外,我们还提供了相关的最佳实践和抵御策略,最终呈现出这份报告。

API 与应用程序中的缺口会形成漏洞,并让攻击者有机会找到方法来突破外围防御,在您的网络内传播并获取机密信息。同时,Web 应用程序和 API 攻击仍然是企业必须设法防御的重大威胁,而要想降低风险,及时修补安全漏洞就变得至关重要。

留意(安全)缺口:API 攻击研究引发对风险的关注

开放式 Web 应用程序安全项目 (OWASP) 发布了 API 十大安全漏洞的候选名单,这也得到了我们的数据佐证。从新的名单中可以看出,API 攻击占据的比重日益加大(图 1)。API 漏洞入选这份即将发布的新名单,这似乎表明人们对 Web 应用程序攻击的关注热度已经有所下降,并开始将目光投放到日益增加的 API 攻击风险上,因此需要企业引起重视。

新拟议的 API 十大安全漏洞 图 1:新拟议的 API 十大安全漏洞中包含更多与 API 相关的攻击,并着重强调了授权问题(在前五大攻击中占据四席)

遭到破坏的对象级授权

在 OWASP 拟议的 API 十大安全漏洞中,遭到破坏的对象级授权 (BOLA) 是排名非常靠前的 API 漏洞。尽管它并不需要使用破解加密(这是 API 逻辑中存在的缺陷)这样更具技术含量的方法,但是与合法流量非常类似,因此极难检测出来。其攻击手段也很简单:攻击者可以扫描找到容易遭受 BOLA 攻击的 API 端点,而攻击成功造成的后果可能会极其恶劣,因为它允许访问其他用户的信息,例如存储的个人身份信息(图 2)。

正常请求对比 BOLA 攻击的示例 图 2:正常请求对比 BOLA 攻击

为了抵御 BOLA 攻击带来的风险,下面来介绍一些相关的最佳实践:

  • 对使用客户输入的 API 执行授权检查,以确定当前用户是否有权访问请求的资源

  • 使用通用唯一标识符 (UUID) 作为资源 ID,而不是连续数字 ID

  • 编写并运行测试以评估您的 API 端点是否存在 BOLA 漏洞

受损的身份验证

我们还着重介绍了受损的身份验证漏洞(在新名单中排名第二),其中的弱点是难以验证访问帐户的用户是否经过授权。这种类型的攻击需要具备一定程度的专业知识,因此实施难度较大,但一旦成功就会造成非常危险的影响,例如帐户接管。这就有必要使用安全算法进行风险审查,包括身份验证流程风险,从而避免将敏感数据存储在载荷中,并且将生成的唯一标识符用于 KID 参数(如果正在使用)。

漏洞频发、攻击手段层出不穷的一年

2022 年是应用程序和 API 攻击创下高峰的一年,而与零日漏洞的抗争也远未到结束之时。2021 年底,继 Log4Shell 出现之后,各家企业纷纷发现自己还存在其他重大漏洞:Atlassian Confluence 漏洞、ProxyNotShell,还有 Spring4Shell。

我们还发现恶意软件趋势的浮现(例如 SSTI 和服务器端代码注入)给业务带来严重威胁,因为它们可能会导致远程代码执行和数据渗漏。此外,SSRF 攻击也呈现爆发态势:我们观察到,针对我们客户 Web 应用程序和 API 的 SSRF 攻击尝试达到平均每天 1400 万次,这些攻击可能会导致攻击者入侵企业内部资源。

开源软件中的零日漏洞变得越来越普遍,再加上让远程代码执行得以实现的 SSTI 手段,这些对企业来说无疑是雪上加霜。在高级的持久性威胁活动和 HTTP 请求盗取中,我们还发现了利用 Web shell 的攻击手段。

数字化时代的应用程序和 API 攻击风险:对不同行业的攻击有何不同

我们还调查了关键行业和趋势,以及网络犯罪分子有可能通过哪些方法来利用 API 和应用程序作为渗透企业的途径。大多数行业遭受攻击的频率都出现增长,而商业、高科技和金融服务行业则首当其冲(图 3)。不足为奇的是,金融服务名列前三之内:这一点佐证了我们去年的 SOTI 报告《 兵临城下:针对金融服务领域的攻击分析》中的发现,其中提及金融服务遭受的攻击呈现 3.5 倍的爆发式增长。 

此外,我们还观察到商业垂直领域遭受的 LFI 攻击也出现大幅增长。攻击者也许在借着因新冠疫情引发部署新应用程序和技术的急迫性,来搜索可利用的漏洞和其他安全缺口。

Web 攻击影响严重的垂直行业 图 3:商业、高科技和金融服务是受 Web 应用程序和 API 攻击影响最为严重的垂直行业

不同的看法

然而,在对中值数据集进行观察之后,我们对每个垂直行业的攻击范围有了不同的看法。这一数据显示,制造业在 2022 年遭受的攻击次数已经超过了高科技和金融服务行业,这也与我们之前在最新 SOTI 报告《 攻击快车道:深入了解恶意 DNS 流量 以及我们的全球勒索软件威胁报告。  

尽管制造业公司遭受的应用程序和 API 攻击在规模上并不一定比得上直接面向消费者的垂直行业(例如零售业),但攻击事件的影响可能会非常严重。2022 年的攻击数量中位数也急剧上升了 76%,令各大企业如鲠在喉。针对此行业内运营技术实施的网络攻击频频得手,带来了供应链问题等现实影响。

此外,由于医疗物联网 (IoMT) 的采用造成攻击面扩大,医疗保健及制药企业的攻击数量中位数也大幅上升了 82%。许多医疗保健提供商都在使用大量传统系统、高度联合的系统以及 IoMT 数据,因此,强大的分段技术和数据流监测变得非常重要。患者安全至关重要,不容有失。  

关于填堵缺口的思考

本期摘要只是略为揭示了我们报告中包含的丰富数据和技术详情。建议您完整阅读报告,并将从中获得的经验运用在您的业务当中。

一些建议: 

  • 不要等到危机降临才来思考如何抵御不同类型的新漏洞或零日漏洞,无论是对协议(代码)、产品还是固件中存在的漏洞,企业都应未雨绸缪。尽管这些抵御措施需要的策略都略有不同,但是从及时响应的角度来看,建立流程至关重要。 

  • 要想抵御这些攻击手段,就需要在边缘部署 Web 应用程序和 API 保护/Web 应用程序防火墙 (WAAP/WAF)、在内部实施 分段/安全围栏,并在源头尽快完成修补。 

  • 利用报告中讨论的关键问题和技术,推动规划您的穿透测试/红队,让您能够评估自己的风险状况。对风险状况的分析应该按行业执行,有时还需要按区域执行。从他人的过失中汲取教训!

下一个重大漏洞随时可能出现,您需要立即构建或验证自己的应对策略。

结论

了解 OWASP 的一些最新变化 ,同时在考虑如何确定优先级时,可以参照 OWASP 更新后的建议开始着手。JSON Web 令牌可以重点检测“受损的身份验证”,这就是一个很好的案例研究,说明了您在多大程度上仍然需要进行安全代码开发,并且开发最佳实践和技术控制,以确保您的应用程序与风险偏好相匹配。

我们希望这份报告中的数据能够带来深入见解,帮助您更新自己的程序并开发最佳实践。

如需了解更多见解,请密切关注我们的 安全研究中心。 



Akamai Wave Blue

寫於

Badette TribbeySteve Winterfeld

April 18, 2023

Badette 目前是 Akamai Technologies 的高级技术作家,她将技术发现转化为了威胁报告和其他长篇内容中引人注目的故事。

Steve Winterfeld 是 Akamai 咨询业务部的首席信息安全官。再加入 Akamai 之前,他曾经担任过 Nordstrom 银行的首席信息安全官,以及 Charles Schwab 的事件响应和威胁情报总监。Steve 专注于确保我们的合作伙伴成功保证其客户的安全,并且确定我们应集中自身能力对哪些领域进行攻坚。Steve 出版过一本有关网络战的书籍,拥有 CISSP、ITIL 和 PMP 认证。