Predictions for 2023 from Latest API Threat Research | API Security Newsletter
Der März ist da und brüllt wie ein sehr verwirrter Löwe, zumindest auf der Nordhalbkugel. Und ähnlich wie in freier Wildbahn nimmt die Brutproduktion zu. Wir haben bereits einige Früchte dieser Arbeit gesehen, wie den ThreatStats™-Bericht zum vierten Quartal 2022 und zum Jahresende 2022 sowie einige sehr schmackhafte Produkt-Upgrades. Lesen Sie weiter für den Honig dieses Monats.
Grüße an alle!
Wir haben die API-Bedrohungslandschaft und einige bemerkenswerte API-Schwachstellen im Auge behalten, die Sie kennen sollten. Aber keine Sorge, wir sind hier, um Ihnen mit unserer neuesten Bedrohungsforschung und Produktaktualisierungen zu helfen.
Unsere jüngste Analyse von API-Schwachstellen-, Exploit- und Angriffsdaten hat sowohl auf das vierte Quartal ausgerichtete Ergebnisse als auch einen Rückblick auf das Jahresende 2022 ergeben, mit Prognosen für 2023, einschließlich eines anhaltenden Anstiegs von API-Schwachstellen, einer Zunahme von API-Angriffen und einer Verschlechterung des Time-to-Exploit-Fensters.
Wie Sie auch aus dem Bericht erfahren werden, deckt OWASP API Security Top-10 echte API-Exploits nicht vollständig ab; Daher hoffen wir, dass der neue viel besser sein wird. Um mehr über den kürzlich veröffentlichten ersten Entwurf zu erfahren und was Sie von OWASP API Top-10 2023 erwarten können, nehmen Sie am 16. März an einem vielversprechenden Webinar teil.
An der Produktfront veröffentlichen wir weiterhin Verbesserungen, um sicherzustellen, dass Benutzer die beste End-to-End-Sicherheit für ihre APIs erhalten. Wir haben kürzlich Verbesserungen in der API-Erkennung (bei der es wirklich nur um die Sicherheitslage geht) und dem SSRF-Schutz eingestellt. Einzelheiten finden Sie unten.
Als Spoiler finden Sie diesen Monat auch meine API-Sicherheitsvorhersagen für 2023 in einem kommenden Forbes-Artikel. Ich gehe davon aus, dass API-Token-Lecks Teil von Kill-Chains sein werden, die 2023 zu verschiedenen Arten von Angriffen führen werden. Ich erwarte auch eine Zunahme von API-Missbrauchsangriffen aufgrund von Authentifizierungs- und Autorisierungsproblemen sowie einen Anstieg Datendekodierungsangriffe, die auf APIs abzielen. Meine Gedanken basieren auf Schwachstellen-, Exploit- und Angriffsdaten, die in unserem 2022 Year-End ThreatStats™ Report analysiert wurden, und auf den vielen Datenschutzverletzungen, die im letzten Jahr aufgetreten sind.
– Ivan, CEO und Mitbegründer, Wallarm
PS – Bleiben Sie über die neuesten Nachrichten zu #apisecurity-Exploits und -Updates auf dem Laufenden, indem Sie unseren neuen folgen LinkedIn-Seite von API ThreatStats.
Wallarm-Neuigkeiten
Die 2022-API-Schwachstellen-, Exploit- und Angriffsdaten wurden geknackt und sind die neuesten API ThreatStats™-Bericht Saison ist abgeschlossen. Das Team lieferte sowohl Q4-fokussierte Ergebnisse als auch, was vielleicht noch wichtiger ist, einen Jahresrückblick 2022. Es gibt viel zu entdecken, darunter:
Zu viel, um es hier noch einmal zusammenzufassen, aber lesen Sie unbedingt unsere Vorhersagen für 2023, einschließlich:
- Kontinuierliche Zunahme von API-Schwachstellen in Anzahl und Schweregrad.
- Unaufhörliches Wachstum von API-Angriffen, was zu noch mehr Verstößen führen wird.
- Verschlechterung des Time-to-Exploit-Fensters, was noch mehr Druck auf die Sicherheits- und DevOps-Teams ausüben wird.
Lesen Sie die Jahresendkollektion 2022, um zu erfahren, worauf Sie sich vorbereiten müssen, und sehen Sie sich die Q4-2022-Kollektion an, um zu erfahren, wie wir hierher gekommen sind. Hau rein!
Der Bienenstock hat Wallarm-Benutzern im vergangenen Monat süße Ambrosia serviert.
API Discovery Dashboard-Upgrades
Mit diesem Update können Sie jetzt sensible Daten einfacher überwachen (um die Compliance aufrechtzuerhalten), API-Änderungen verfolgen (um Abweichungen zu überwachen), riskante Endpunkte identifizieren (um Ihre API-Angriffsfläche zu reduzieren) und vieles mehr. Lesen Sie mehr in diesem Changelog-Eintrag.
SSRF-Angriffsminderung
Server-Side Request Forgery (SSRF)-Angriffe können es böswilligen Akteuren ermöglichen, Serverkonfigurationen zu lesen, eine Verbindung zu internen Diensten herzustellen, unbeabsichtigte Post-Requests auszuführen oder die Eingabevalidierung zu umgehen. Mit diesem Update, das Node v 4.4.3 erfordert, können Sie sich jetzt noch einfacher gegen diesen Angriffsvektor schützen. Lesen Sie mehr in diesem Changelog-Eintrag.
Wussten Sie? Sie können unsere abonnieren Ankündigungen aktualisieren um über die neuesten Produktneuheiten auf dem Laufenden zu bleiben.
Bevorstehende:
Webinar [Mar 16, 2023] — Ein CISO-Leitfaden zum neuen OWASP-API-Sicherheitsupdate 2023
Nehmen Sie an unserem bevorstehenden Webinar teil, während wir den neuen Top-10-API-Risiken Release Candidate (RC) für 2023 und die Auswirkungen dieser Updates auf Ihre API-Sicherheitslage untersuchen.
Vergangenheit:
Webinar [on-demand] — API ThreatStats™ Report: Jahresrückblick 2022 & Q4-Ergebnisse
Das Wallarm Research-Team hat alle veröffentlichten API-Schwachstellen und Exploits für 2022 durchgesehen und diese in unserem Jahresendbericht zusammengefasst. Sehen Sie sich unsere Aufzeichnung unserer Zusammenfassung der Highlights und Trends an, die wir im Jahr 2022 gesehen haben, und hören Sie unsere Vorhersagen für das, was 2023 kommen wird.
Schwachstellen in VMware NSX Manager werden aktiv ausgenutzt
Lesen Sie diesen Artikel des Wallarm Detect-Teams zu Exploit-Versuchen in der Wildnis von CVE-2022-31678 (CVSS-Bewertung: 9,1) und CVE-2021-39144 (CVSS-Bewertung: 8,5), die sich auf VMware NSX Manager auswirken. Bei erfolgreicher Ausnutzung könnten die Auswirkungen dieser Schwachstellen katastrophal sein und es Angreifern ermöglichen, beliebigen Code auszuführen, Daten zu stehlen und/oder die Kontrolle über die Netzwerkinfrastruktur zu übernehmen.
Oktopus-Streik! Drei Argo-CD-API-Exploits in zwei Wochen
Lesen Sie diesen Artikel des Wallarm Detect-Teams zu drei (3) Schwachstellen, die sich auf Argo CD auswirken, ein beliebtes Open-Source-CD-Tool, das von vielen DevOps-Teams zur Verwaltung ihrer Apps verwendet wird. Diese beinhalten:
- CVE-2023-22736 – eine Sicherheitslücke zur Umgehung der Autorisierung (CVSS-Bewertung: 8,5)
- CVE-2023-22482 – eine Sicherheitslücke durch unsachgemäße Autorisierung (CVSS-Bewertung: 8,8)
- CVE-2023-25163 – führt zum Durchsickern von Zugangsdaten für das Repository in Fehlermeldungen (CVSS-Bewertung: 6,5)
Noch mehr ImageMagick-Schwachstellen
Lesen Sie diesen Artikel des Wallarm Detect-Teams zu CVE-2022-44267 (CVSS-Bewertung: 6,5) und CVE-2022-44268 (CVSS-Bewertung: 6,5), die es Angreifern ermöglichen, Dateien in ImageMagick, einem beliebten Open-Source-Image, willkürlich zu lesen Bearbeitungssuite zu nutzen und Denial-of-Service-Unterbrechungen (DoS) zu verursachen.
React-admin XSS-Angriff auf RichTextField (CVSS-Bewertung: 5,4)
Alle React-Anwendungen, die mit React-Admin erstellt wurden und das
Directus SSRF-Angriff auf Dateiimport (CVSS-Bewertung: 5,0)
Einige Versionen von Directus sind anfällig für Server-Side Request Forgery (SSRF), wenn eine Datei von einem entfernten Webserver importiert wird (POST nach `/files/import`). Ein Exploit-POC wurde veröffentlicht. (CVE-2023-26492)
ZoneMinder SQL-Injection-Angriff über bösartiges JWT (CVSS-Bewertung: 8,1)
Einige Versionen von Zoneminder sind anfällig für SQL Injection über bösartige JSON-Web-Token (JWT). Ein Patch wurde veröffentlicht. (CVE-2023-26032)
Apache Kafka Connect Uneingeschränkte Deserialisierung nicht vertrauenswürdiger Daten (CVSS-Bewertung: 8,8)
Einige Versionen von Apache Kafka Connect können möglicherweise Remote Code Execution (RCE)- oder Denial of Service (DoS)-Angriffen über SASL JAAS-Konfigurationen ausgesetzt sein, die die Ausführung von JNDI-Anfragen zulassen. Ein Upgrade ist verfügbar. (CVE-2023-25194)
TinaCMS Sensitive Information Leak über Skriptdatei (CVSS-Bewertung: 7,5)
Einige Versionen von TinaCMS, die vertrauliche Anmeldeinformationen wie Umgebungsvariablen (z. B. Algolia-API-Schlüssel) speichern, sind betroffen. Benutzern wird empfohlen, freiliegende Schlüssel zu drehen. Ein Upgrade ist verfügbar. (CVE-2023-25164)
Gitpod Cross-Site WebSocket Hijacking Schwachstelle (CVSS-Bewertung: 8,2)
Einige Versionen von Gitpod sind anfällig für eine Übernahme von gemeinsam genutzten Arbeitsbereichen aufgrund einer Cross-Site WebSocket Hijacking (CSWSH)-Schwachstelle. Ein Upgrade ist verfügbar. (CVE-2023-0957)
Wir empfehlen Ihnen, Ihr Portfolio auf Anfälligkeit für diese Schwachstellen zu prüfen, nach Möglichkeit Updates anzuwenden und auf weitere Vorfälle zu überwachen. Um mehr über bemerkenswerte API-Schwachstellen zu erfahren, abonnieren Sie unbedingt unsere neue LinkedIn-Seite von API ThreatStats.
Sumo Logic speichert API-Anmeldeinformationen auf Endpunkten
(SecListen) Erhalten Sie Zugriff auf die gesamte API mit accessid und accesskey, die in der Protokolldatei zu finden sind.
Sicherheitslücke mit hohem Schweregrad in F5 BIG-IP lässt Angreifer beliebigen Code ausführen
(GBHackers) Eine hochgradige Sicherheitslücke in F5 BIG-IP bezüglich Formatzeichenfolgen, die zu einem Denial-of-Service-Problem (DoS) führen und möglicherweise beliebigen Code ausführen kann.
E-Commerce-Shops: 12 % stellen private Backups öffentlich zur Verfügung
(Datenverletzung heute) Eine Studie von 2.037 E-Commerce-Shops ergab, dass 250 von ihnen Backups hatten, die private Informationen enthielten und die in öffentlich zugänglichen Ordnern ohne Zugriffsbeschränkungen gespeichert waren.
Umgehen der WAF von Akamai mithilfe eines eingefügten Content-Encoding-Headers
(Prätorianer-Blog) Eine interessante Methode, um die Cross-Site-Scripting (XSS)-Filterfunktion innerhalb der Akamai Web Application Firewall (WAF)-Lösung zu umgehen.
Analysieren Sie Ihre bestehenden API-Tests durch eine Sicherheitslinse
(Blog von Dana Epp) APIs sind ein vorrangiges Angriffsziel und müssen geschützt werden, daher müssen Entwickler auch Sicherheitstests in ihre bestehende QA-Strategie einführen, um Anwendungen vor böswilligen Angriffen und Schwachstellen zu schützen.
Wie Application Mapping die Anwendungssicherheit erhöhen kann
(GBHackers) Die Anwendungszuordnung hilft bei der Identifizierung potenzieller Schwachstellen und Risikobereiche und unterstützt Sicherheitstests, Reaktion auf Vorfälle und die allgemeine Anwendungssicherheitsplanung.
ChatGPT für offensive Sicherheit: Fünf Angriffe
(Die CISO-Perspektive) Angreifer finden Wege, ChatGPT für schändliche Zwecke in Untergrund-Hacking-Foren zu verwenden.
Eine Checkliste für API-Sicherheitstests … mit einem Twist
(Blog von Dana Epp) Diese rote Team-Checkliste listet auf, wie man sich dem API-Ziel nähert, wie man es angreift und wie man wenig bis gar keine Spuren hinterlässt.
Die meisten Web-API-Fehler werden von Standard-Sicherheitstests übersehen
(Der tägliche Schluck) APIs können weniger zu einer Belastung werden, indem sie sicherheitsorientierte Teammitglieder während des Designs einbeziehen, sicheres Programmieren fördern, regelmäßige Sicherheitstests durchführen und Programmieraufrufe auf Angriffe und Missbrauch überwachen.
Wenn es um Zero Trust geht, stellt niemand Appsec in eine Ecke
(Forrester-Blog) Die Sicherheitsumfrage von Forrester, 2022, zeigt, dass 83 % der globalen Großunternehmen berichten, dass die Geschäftsleitung ihre Organisationen zur Einführung von Zero Trust verpflichtet hat.
Top Takeaways von der CloudNativeSecurityCon 2023
(Dunkles Lesen) Ein bemerkenswerter Trend ist „Rechtsverschiebung“, die für das Verständnis dessen, was in der Laufzeitumgebung vor sich geht, gleichermaßen an Bedeutung gewinnt.
So beheben Sie die wachsenden API-Sicherheitslücken im Jahr 2023
(IT-Sicherheits-Guru) In vielerlei Hinsicht können APIs, die 2023 als „neues Schlachtfeld für Cybersicherheit“ gelten, im kommenden Jahr ein Geschäft aufbauen – oder brechen –.
Letzten Monat haben wir nach durchgesickerten API-Schlüsseln und anderen Geheimnissen gefragt. Es sieht so aus, als ob nur wenige wirklich zuversichtlich sind, während etwa 50 % gegenüber diesem Thema etwas oder völlig blind sind:
Und wir würden uns freuen, wenn Sie bei unserem nächsten abwägen LinkedIn-Umfrage wir führen durch: Wie ausgereift ist Ihr API-Schwachstellenbewertungs-/Managementprozess? Bitte lassen Sie uns wissen, wo Sie dazu stehen – verbinden Sie sich mit Ivan oder folgen Sie uns bei Wallarm, um Ihre Stimme zu registrieren.
Wo APIs auf APIs treffen
Und jetzt etwas ganz anderes. Da das Thema des APIary-Newsletters auf fleißigen und fleißigen Bienen basiert, schließen wir gerne mit einem erhebenden Bild ab. Da es März ist, beginnen die Blumen zu blühen und unsere Namensvetter bereiten sich auf den Flug vor, wie Sie sehen können. Genießen!
Quelle: Cyan-Biologe Tumblr | Erstes Bienen-GIF des Jahres
Der Beitrag Vorhersagen für 2023 aus der neuesten API-Bedrohungsforschung | Der API Security Newsletter erschien zuerst auf Wallarm.
*** Dies ist ein syndizierter Blog des Security Bloggers Network von Wallarm, der von grahar12 verfasst wurde. Lesen Sie den Originalbeitrag unter: https://lab.wallarm.com/predictions-for-2023-from-latest-api-threat-research-api-security-newsletter/