Spring4shell和Veeam RCE利用在Q1 2022中排名第一
与API相关的安全漏洞仍然是组织一侧的刺耳,现在存在与高级CVE相关的访问控制缺陷。
根据API安全公司发布的新白皮书瓦拉姆,标题为“在Q1-2022中发现和利用的API漏洞”,在第一季度发现并报告了48个与API相关的漏洞。
根据行业标准,18个被认为是高风险,有19个被标记为中等严重性,那个报告(PDF)说。
公开披露的关键漏洞为8.1和10的CVSS V3分数赢得了自己的奖励。
顶级API威胁
将OWASP前10和OWASP API Security合并,网络安全公司将最重要的API威胁披露归类为与破裂有关的问题访问控件(或功能级别授权,取决于OWASP标准)以及注射攻击。
尽管安全缺陷包括加密故障,不安全的设计,过多的数据暴露和错误配置也使列表成为最危险,最危险的API第1季度2022年披露的漏洞涉及注射攻击,错误的授权或完整的旁路和不正确的许可分配。
在2022年第一季度披露和报告的四个最危险的API漏洞的名单中,是CVE-2022-22947,也称为“ Spring4shell”。
背景Spring4shell:Microsoft,CISA警告有限,内部剥削
Spring4shell与两个漏洞有关 -CVE-2022-22963,弹簧云功能中的Spel表达式注入错误,CVE-2022-22947,在Spring Framework的基于Java的Core模块中导致远程代码执行(RCE)的代码注入攻击。
开发人员公开发布利用代码对于三月份的关键错误,尽管很快被删除,但工作RCE代码的发布确保Spring4shell成为需要快速应用Spring紧急补丁的开发人员的头痛。
将脆弱性与log4j由于春季框架的受欢迎程度。不久,Microsoft和Cisa警告零日缺陷的主动利用。然后,攻击者利用该错误成长Mirai Botnet。
企业技术针对性
API漏洞列表顶部的第二个漏洞是CVE-2022-26501(CVSS 9.8),一个不正确的身份验证错误Veeam备份和复制这使攻击者无需身份验证就可以远程执行任意代码。Veeam为超过40万客户提供支持,其中许多是企业公司。
根据尼基塔·彼得罗夫(Nikita Petrov)CVE-2022-26501与另外两个人一起透露了关键的虫子的积极技术研究人员,有可能“被利用实际攻击,并使许多组织处于巨大的风险中”。
第三个缺陷,另一个缺陷分配了9.8的CVSS分数,影响了企业级开源网络工具Zabbix。跟踪为CVE-2022-23131,当非默认设置启用SAML SSO身份验证正在使用,该工具的前端容易受到特权升级和管理会议劫持的影响 - 只要攻击者知道管理员的用户名。
你可能还喜欢SOS.DEV计划启动以帮助保护关键上游软件
第四是CVE-2022-24327,低级错误的CVSS得分为7.8,但仍然被认为是严重的脆弱性。在喷气桥套件集线器,与开发人员帐户相关的错误集成到集线器中,该枢纽无意中裸露了API键,并具有过多的权限,可能导致帐户收购或劫持。
最后,Wallarm在当今许多网络攻击中都将一类API安全威胁捆绑为一个共同点。描述由Miter作为“ CWE-639:授权绕过通过用户控制的密钥”,《围绕系统授权功能》的问题允许篡改键值,并且无需许可即可访问其他用户的数据或记录。
API作为功能之间的关键通信方法,只要它们在现代网络和服务中的关键作用,就可以使用网络攻击者的目标。
在最近的API安全新闻,开源黑客工具GOTESTWAF引入了API安全平台评估功能,模拟OWASP和API漏洞来测试API安全防御。
