2022最危險的五個API安全漏洞

API安全漏洞仍然是企業的眼中釘，訪問控制漏洞幾乎成了高危漏洞的代名詞。

API作為系統功能之間的關鍵通信方法，在網絡服務中扮演著關鍵作用，已經成為網絡攻擊的熱門目標。根據API安全公司Wallarm最新發布的“2022年一季度API漏洞”報告，第一季度共發現并報告了48個與API相關的漏洞（下圖）：

報告顯示，48個API相關漏洞中18個被認為是高風險（CVSS v3分數為8.1到10），19個被標記為中等嚴重性。

報告評出了CVSSv3評分超過9分的五大最危險API漏洞，其中Spring4Shell和Veeam RCE高居2022年第一季度API漏洞榜單榜首。（下圖，其中一個7.5分入選是因為該漏洞同時出現在OWASP TOP 10和OWASP API TOP10榜單中）：

報告還在多家企業的30個產品中發現了48個API漏洞中的一個或多個漏洞（下圖）：

頭號威脅：Spring4Shell

報告合并了OWASP Top 10和OWASP API Security Top 10，將最重要的API威脅披露歸類為與訪問控制損壞（或功能級別授權損壞，取決于OWASP標準）以及與注入攻擊有關的問題。

雖然加密失敗、不安全設計、過多數據暴露和錯誤配置在內的安全漏洞也出現在榜單中，但2022年第一季度披露的最危險、被利用最多的API漏洞都與注入攻擊、不正確的授權或完全繞過以及不正確的權限分配有關。

在2022年第一季度披露的最危險的API漏洞榜單中，位居榜首的“頭號威脅”是CVE-2022-22947，也稱為“Spring4Shell”。

Spring4Shell與兩個漏洞有關——CVE-2022-22963，Spring Cloud Function中的SpEL表達式注入漏洞，以及CVE-2022-22947，導致Spring Framework基于Java的核心模塊中的遠程代碼執行(RCE)的代碼注入攻擊。

一位開發人員在3月份公開發布了針對該嚴重漏洞的漏洞利用代碼，盡管很快被刪除，但已經發布的有效RCE代碼導致Spring4Shell成為來不及打補丁的開發人員和安全人員的噩夢。

由于Spring框架非常流行，其潛在破壞力與Log4j旗鼓相當。微軟和CISA都發出了該零日漏洞的利用警告，但攻擊者隨后還是利用該漏洞急速擴張了Mirai僵尸網絡。

企業軟件成頭號目標

API漏洞榜單排名第二的漏洞是CVE-2022-26501 (CVSS 9.8)，它是Veeam Backup and Replication中的一個不正確的身份驗證漏洞，允許攻擊者在沒有身份驗證的情況下遠程執行任意代碼。Veeam擁有超過40萬名客戶，其中許多是企業客戶。

根據Positive Technologies研究員Nikita Petrov的說法，CVE-2022-26501有可能“在實際攻擊中被利用，并使許多企業面臨重大風險”。

排名第三的漏洞（CVE-2022-23131）影響了企業級開源網絡工具Zabbix，CVSS得分高達9.8分。當使用啟用SAML SSO身份驗證的非默認設置時，攻擊者只需要知道管理員的用戶名，就可在該工具的前端實施權限提升和管理員會話劫持攻擊。

排名第四的漏洞是CVE-2022-24327，這是一個較低級別的錯誤，其CVSS得分為7.8，但仍被視為嚴重漏洞。該漏洞在JetBrains套件中心中發現，該漏洞與集成到套件中心的開發人員帳戶相關，會無意中暴露具有過多權限的API密鑰，從而可能導致帳戶接管或劫持。

報告指出有一種API安全威脅——“CWE-639：通過用戶控制的密鑰繞過授權”是當今許多網絡攻擊的共同特征，這些問題與系統授權功能相關，導致密鑰值被篡改，并且用戶可以在未經許可的情況下訪問其他用戶的數據或記錄。

最后，值得留意的是，開源黑客工具GoTestWAF引入了API安全平臺評估能力，模擬OWASP和API漏洞來測試API安全防御能力。