10月,您的这些API安全漏洞修复了吗?

admin 2022年11月1日08:08:14评论79 views字数 2382阅读7分56秒阅读模式

10月,您的这些API安全漏洞修复了吗?

为了让大家的API更加安全

致力于守护数字世界每一次网络调用

小阑公司 PortalLab实验室的同事们

给大家整理了

10月份的一些API安全漏洞报告

希望大家查漏补缺

及时修复自己API可能出现的漏洞


No.1

澳大利亚电信公司Optus的数据泄露


漏洞详情:澳大利亚电信公司Optus的数据泄露,超过210万Optus账户持有人,都最少有一种形式的身份证件被暴露,至少有15万本护照和5万个医疗保险号码被盗。

漏洞危害:该API没有速率限制,允许攻击者泄露大量数据。显而易见该 API 在部署之前从未进行过渗透测试。Optus似乎没有根据敏感度对其数据进行分类,也没有实施任何合理的数据保留政策。Optus也没有对机密信息使用任何形式的数据掩码,没有主动监控Optus网络和端点用来检测恶意活动。

影响范围:澳大利亚的电信、金融和政府部门一直处于高度戒备状态,该公司有多达1000万个账户的个人数据被盗。


小阑修复建议

首先,类似于与敏感支付信息的支付网关,应使用个人信息网关来保护PII。其次,应为所有组织指定和强制实施数据处理、分类和保留策略。从API的角度来看,即使是最基本的API安全最佳实践,也可以完全消除此违规行为中与API相关的问题。



No.2

Docker REST API暴露


漏洞详情:Docker是一个开源的应用容器引擎,让开发者可以打包他们的应用以及依赖包到一个可移植的容器中,然后发布到任何流行的LINUX机器上,也可以实现虚拟化。Docker swarm 是一个将docker集群变成单一虚拟的docker host工具,使用标准的Docker API,能够方便docker集群的管理和扩展,由docker官方提供。Docker Remote API 是一个取代远程命令行界面(rcli)的REST API。Docker Remote API如配置不当可导致未授权访问,攻击者利用 docker client 或者 http 直接请求就可以访问这个 API,可能导致敏感信息泄露,黑客也可以删除Docker上的数据。

漏洞危害:攻击者可进一步利用Docker自身特性,直接访问宿主机上的敏感信息,或对敏感文件进行修改,最终完全控制服务器。

影响范围:在互联网上放置了一个Docker“蜜罐”,留下了一个公开的REST API端点。攻击者托管了一个恶意容器映像,其中包含rootkit,Docker容器逃生工具包,XMRig门罗币矿工,凭据窃取者和Kubernetes漏洞利用工具包。


小阑修复建议

建议将Docker REST API 端点限制为仅本地网络或受信任的源。另外,最好可以使用Docker强化指南,并确保密码不会以明文形式存储。


No.3

Bitbucket 服务器中的命令注入漏洞


漏洞详情:Bitbucket 中的关键命令注入漏洞,该漏洞可能允许对公共或私有 Bitbucket 存储库具有读取权限的远程攻击者通过发送恶意 HTTP 请求来执行任意代码。该漏洞编号为 CVE-2022-36804,是Bitbucket Server 和 Data Center的多个 API 端点中的命令注入漏洞。

漏洞危害:该漏洞存在于Bitbucket Server和Bitbucket Data Center的多个API端点中,有权访问公共存储库或对私有 Bitbucket 存储库具有读取权限的攻击者可以通过发送恶意 HTTP 请求来执行任意代码。攻击者可以采取哪些后续操作取决于与被利用应用程序关联的权限。

影响范围:受影响的产品是 Bitbucket 服务器和数据中心(6.10.17 之后发布的版本,最高为 8.3.0)。

漏洞评级:漏洞触发条件是攻击者具备公开项目的访问权限或者私有项目的可读权限,影响版本从 7.0 到 8.3 , 官方自评是 CVSS 9.9 分


小阑修复建议

建议广大用户及时将Bitbucket升级到最新版本,与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。根据影响版本中的信息,排查并升级到安全版本。

下载链接:https://www.atlassian.com/software/bitbucket/download-archives。


No.4

Zulip Server中的提权漏洞


漏洞详情:Zulip Server API 中一个漏洞,出现漏洞的根本原因是 Zulip Server 中的授权检查不正确。Zulip 是一个开源团队协作工具,一款专为实时和异步对话而设计的现代团队聊天应用程序,支持快速搜索、拖放文件上传、图像预览、组私人消息、可听通知、错过电子邮件消息提醒与桌面应用等。

漏洞危害:由于 Zulip Server 5.4 及更早版本中的授权检查不正确,组织成员可以制作一个 API 调用,将组织管理员权限授予其机器人之一。

影响范围:该漏洞被称为CVE-2022-31168,影响 Zulip Server 的所有版本,最高为 5.4。


小阑修复建议

建议用户立即升级到 5.5 版本。组织管理员可以将“谁可以创建机器人”权限仅限于管理员,并更改现有机器人的所有权。



10月,您的这些API安全漏洞修复了吗?

星阑科技“萤火”API安全分析平台可以支持多种API漏洞的检测。有相关需求的可以在公众号进行留言,或添加“小阑本阑”客服微信进行咨询。

10月,您的这些API安全漏洞修复了吗?

(长按或扫描图中二维码即可添加)


关于Portal Lab 实验室

10月,您的这些API安全漏洞修复了吗?

星阑科技 Portal Lab 致力于前沿安全技术研究及能力工具化。主要研究方向为API 安全、应用安全、攻防对抗等领域。实验室成员研究成果曾发表于BlackHat、HITB、BlueHat、KCon、XCon等国内外知名安全会议,并多次发布开源安全工具。未来,Portal Lab将继续以开放创新的态度积极投入各类安全技术研究,持续为安全社区及企业级客户提供高质量技术输出。

10月,您的这些API安全漏洞修复了吗?

关注“星阑PortalLab”公众号

了解更多关于API安全的技术知识



往期 · 推荐


10月,您的这些API安全漏洞修复了吗?
10月,您的这些API安全漏洞修复了吗?
10月,您的这些API安全漏洞修复了吗?

10月,您的这些API安全漏洞修复了吗?

10月,您的这些API安全漏洞修复了吗?

原文始发于微信公众号(星阑科技):10月,您的这些API安全漏洞修复了吗?

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年11月1日08:08:14
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   10月,您的这些API安全漏洞修复了吗?http://cn-sec.com/archives/1382951.html

发表评论

匿名网友 填写信息