Undichte APIs drohen, den Ruf von Unternehmen ins Meer zu spülen

Veröffentlicht Jun 24, 2021
von Pieter Danhieux
FALLSTUDIE

Undichte APIs drohen, den Ruf von Unternehmen ins Meer zu spülen

Veröffentlicht Jun 24, 2021
von Pieter Danhieux
Ressource anzeigen
Ressource anzeigen

Im Leben ist Kommunikation im Allgemeinen eine großartige Sache. Es gibt keinen schnelleren Weg, um zu einem Verständnis zu kommen, etwas Neues zu lernen oder eine Beziehung aufzubauen. In der Softwarebranche dienen APIs einem kommunikativen Zweck, der es Anwendungen ermöglicht, miteinander zu kommunizieren und so Funktionen und Benutzerfreundlichkeit zu verbessern. Diese Konnektivität führt oft zu einem reichhaltigeren Erlebnis, das die Endbenutzer lieben und zunehmend von der Software in ihrem täglichen Leben erwarten. 

Doch wie im richtigen Leben ist es ein großes Problem, wenn sie zu viel reden. Experian hat dies vor kurzem auf die harte Tour erfahren, als eine ihrer APIs - die von einem Drittpartner verwendet wird - potenziell die Kreditwürdigkeit von... nun ja, so ziemlich jedem amerikanischen Bürger preisgab.

Das Problem wurde schnell gepatcht, aber es bleibt die Frage, ob diese Sicherheitslücke wirklich gestoppt wurde. Wenn ein Anbieter betroffen war, stehen die Chancen gut, dass auch andere betroffen waren, und es besteht die Möglichkeit, dass es sich um einen systemischen Fehler handelt, der jeden betrifft, der diese unsichere API verwendet.

API-Sicherheit ist ein Thema, das den meisten Sicherheitsexperten nicht aus dem Kopf geht, und es ist etwas, für das wir uns mit dem Wissen ausstatten müssen, um es zu bekämpfen. 

Jeder verwegene Geek kann die schlechte API-Authentifizierung umgehen

Ein Merkmal vieler Datenlecks, Sicherheitsverletzungen und Sicherheitsvorfälle ist, dass sie selten von einem Superhirn ausgeführt werden. Komplexe, heimtückische und schädliche Angriffe, wie wir sie bei SolarWinds gesehen haben, erfordern Teams von cyberkriminellen Genies, um sie auszuführen, und sie sind eher die Ausnahme als die Regel. 

Wenn eine API mit schwacher Authentifizierung gebaut wird, ist es ziemlich einfach für sie, ausgenutzt zu werden. Bill Demirkapi, der Sicherheitsforscher, der Experians API-Bug entdeckte, stellte fest, dass auf diese ohne jegliche Authentifizierung zugegriffen werden konnte. Durch die Eingabe von 00/00/0000 in das Feld für das Geburtsdatum konnte er auf die Kreditwürdigkeit einer Person zugreifen, indem er nur öffentlich zugängliche Informationen wie den Namen und die dazugehörige Postanschrift verwendete. Dies wurde zwar nicht gemeldet, aber das Potenzial, dass diese Datensätze als kreditbezogener Datendump abgegriffen und kontextualisiert werden (und somit wertvoll sind), ist sicherlich vorhanden.

Saubere und funktionale Authentifizierungsprozesse sollten vorhanden sein, egal wie klein der Anwendungsfall ist; eine Chatterbox-API, die nicht ordnungsgemäß abgesichert ist und potenziell den Zugriff auf mehrere Systeme ermöglicht, ist eine Gefahr.

Broken Authentication ist die Nummer zwei auf der OWASP Top 10 API-Schwachstellenliste. Lesen Sie hier mehr darüber, wie Sie diesen Fehler vermeiden können, und testen Sie Ihre Fähigkeiten auf unserer Plattform, sobald Sie Ihr Gehirn gefüttert haben.

Schlechte API-Sicherheitskontrollen sind ein weit verbreitetes Problem, das einen kulturellen Wandel erfordert

Es ist nicht fair, mit dem Finger nur auf Unternehmen wie Experian zu zeigen, aber der Mangel an Nuancen und Sorgfalt bei der Sicherheitskontrolle, der in dieser speziellen API-Enthüllung gezeigt wurde, lässt nichts Gutes für die vielen Unternehmen da draußen erahnen, die APIs als Teil ihrer IT-Systeme und Endpunkte nutzen. 

Generell müssen wir noch viel mehr tun, um API-Schwachstellen nicht nur zu finden und zu beheben, sondern sie als Teil der Angriffsfläche zu verstehen, die wir schützen sollen. Die Sichtbarkeit von APIs - und wie sie erstellt wurden - ist ein großes Anliegen und sollte als Teil der Best Practices für Sicherheit gefordert werden. Selbst ein Unternehmen mit den strengsten Sicherheitsmaßnahmen kann durch eine API, die veröffentlicht wird und außerhalb der Sicherheitskontrollen des Unternehmens arbeitet, in Gefahr geraten. Es ist wichtiger denn je, sich zu fragen, woher eine API kommt, wer sie letztendlich verwaltet (ist es ein Drittanbieter? Wie streng sind seine Sicherheitsmaßnahmen?) und auf welche Informationen sie zugreift. 

Injection-Schwachstellen bleiben für jeden CISO ein Dorn im Auge.

API-Sicherheit scheint ein relativ neues Modul zu sein, das in ein Sicherheitsprogramm aufgenommen werden sollte, aber es kann mit einigen (sehr) alten Tricks ausgenutzt werden, die wir von gewöhnlicher Web-Software kennen.

Ein kürzlich bekannt gewordener Angriff auf Accellion zeigte, dass verkettete SQL-Injection- und OS-Befehlsausführungs-Angriffe es den Bedrohungsakteuren ermöglichten, APIs zu manipulieren und eine beträchtliche Menge sensibler Daten zu extrahieren, einschließlich Sozialversicherungsnummern. Es wurde festgestellt, dass die Angreifer umfangreiche Kenntnisse über die FTA-Software von Accellion haben mussten, um den Raub durchzuführen, was durch umfangreiches Reverse Engineering möglich gewesen wäre.

Da der Einbruch im Dezember 2020 und Januar 2021 stattfand, hatten die Diebe genügend Zeit, um Schaden anzurichten. Weitere Entdeckungen im Februar 2021 deckten eine gespeicherte XSS-Schwachstelle auf, wobei die forensische Analyse ergab, dass nur ein API-Endpunkt mit nicht ordnungsgemäß bereinigten Benutzereingaben es ermöglichte, ein Argument beim Aufruf des Skripts admin.pl zu injizieren.

Bei über 3000 Kunden, darunter viele renommierte Bildungseinrichtungen, könnte dieser Verstoß weitreichende Folgen haben. Leider wurden diese Angriffe durch die Ausnutzung allgemeiner Schwachstellen ermöglicht, von denen viele von sicherheitsbewussten Entwicklern bereits auf Code-Ebene und vor der Produktion hätten behoben werden können. Wie wir immer wieder sehen, braucht es nur ein kleines offen gelassenes Fenster, um große Probleme zu verursachen. Und eine Kultur der von Menschen geführten Cyber-Verteidigung muss Teil der Strategie sein, um ein sehr menschliches Problem zu lösen.


Möchten Sie jetzt Ihre API-Sicherheitskenntnisse testen in Java Spring API, Kotlin Spring API, C# (.NET) Web API und mehr? Probieren Sie einige API-Herausforderungen auf unserer Learning Platform aus (prüfen Sie alle Sprachen:Frameworks über das Dropdown):

Banner, auf dem steht, dass Sie Ihre API-Sicherheitskenntnisse mit echtem Code auf Ihre Weise testen können
Versuchen Sie es doch mal.


Ressource anzeigen
Ressource anzeigen

Autor

Pieter Danhieux

Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.

Sie wollen mehr?

Tauchen Sie ein in unsere neuesten Erkenntnisse über sichere Kodierung im Blog.

Unsere umfangreiche Ressourcenbibliothek zielt darauf ab, die menschliche Herangehensweise an eine sichere Weiterbildung im Bereich der Programmierung zu stärken.

Blog ansehen
Sie wollen mehr?

Holen Sie sich die neuesten Forschungsergebnisse zur entwicklergesteuerten Sicherheit

Unsere umfangreiche Ressourcenbibliothek ist voll von hilfreichen Ressourcen, von Whitepapers bis hin zu Webinaren, die Ihnen den Einstieg in die entwicklungsorientierte sichere Programmierung erleichtern. Erforschen Sie sie jetzt.

Ressourcendrehscheibe

Undichte APIs drohen, den Ruf von Unternehmen ins Meer zu spülen

Veröffentlicht Jun 24, 2021
Von Pieter Danhieux

Im Leben ist Kommunikation im Allgemeinen eine großartige Sache. Es gibt keinen schnelleren Weg, um zu einem Verständnis zu kommen, etwas Neues zu lernen oder eine Beziehung aufzubauen. In der Softwarebranche dienen APIs einem kommunikativen Zweck, der es Anwendungen ermöglicht, miteinander zu kommunizieren und so Funktionen und Benutzerfreundlichkeit zu verbessern. Diese Konnektivität führt oft zu einem reichhaltigeren Erlebnis, das die Endbenutzer lieben und zunehmend von der Software in ihrem täglichen Leben erwarten. 

Doch wie im richtigen Leben ist es ein großes Problem, wenn sie zu viel reden. Experian hat dies vor kurzem auf die harte Tour erfahren, als eine ihrer APIs - die von einem Drittpartner verwendet wird - potenziell die Kreditwürdigkeit von... nun ja, so ziemlich jedem amerikanischen Bürger preisgab.

Das Problem wurde schnell gepatcht, aber es bleibt die Frage, ob diese Sicherheitslücke wirklich gestoppt wurde. Wenn ein Anbieter betroffen war, stehen die Chancen gut, dass auch andere betroffen waren, und es besteht die Möglichkeit, dass es sich um einen systemischen Fehler handelt, der jeden betrifft, der diese unsichere API verwendet.

API-Sicherheit ist ein Thema, das den meisten Sicherheitsexperten nicht aus dem Kopf geht, und es ist etwas, für das wir uns mit dem Wissen ausstatten müssen, um es zu bekämpfen. 

Jeder verwegene Geek kann die schlechte API-Authentifizierung umgehen

Ein Merkmal vieler Datenlecks, Sicherheitsverletzungen und Sicherheitsvorfälle ist, dass sie selten von einem Superhirn ausgeführt werden. Komplexe, heimtückische und schädliche Angriffe, wie wir sie bei SolarWinds gesehen haben, erfordern Teams von cyberkriminellen Genies, um sie auszuführen, und sie sind eher die Ausnahme als die Regel. 

Wenn eine API mit schwacher Authentifizierung gebaut wird, ist es ziemlich einfach für sie, ausgenutzt zu werden. Bill Demirkapi, der Sicherheitsforscher, der Experians API-Bug entdeckte, stellte fest, dass auf diese ohne jegliche Authentifizierung zugegriffen werden konnte. Durch die Eingabe von 00/00/0000 in das Feld für das Geburtsdatum konnte er auf die Kreditwürdigkeit einer Person zugreifen, indem er nur öffentlich zugängliche Informationen wie den Namen und die dazugehörige Postanschrift verwendete. Dies wurde zwar nicht gemeldet, aber das Potenzial, dass diese Datensätze als kreditbezogener Datendump abgegriffen und kontextualisiert werden (und somit wertvoll sind), ist sicherlich vorhanden.

Saubere und funktionale Authentifizierungsprozesse sollten vorhanden sein, egal wie klein der Anwendungsfall ist; eine Chatterbox-API, die nicht ordnungsgemäß abgesichert ist und potenziell den Zugriff auf mehrere Systeme ermöglicht, ist eine Gefahr.

Broken Authentication ist die Nummer zwei auf der OWASP Top 10 API-Schwachstellenliste. Lesen Sie hier mehr darüber, wie Sie diesen Fehler vermeiden können, und testen Sie Ihre Fähigkeiten auf unserer Plattform, sobald Sie Ihr Gehirn gefüttert haben.

Schlechte API-Sicherheitskontrollen sind ein weit verbreitetes Problem, das einen kulturellen Wandel erfordert

Es ist nicht fair, mit dem Finger nur auf Unternehmen wie Experian zu zeigen, aber der Mangel an Nuancen und Sorgfalt bei der Sicherheitskontrolle, der in dieser speziellen API-Enthüllung gezeigt wurde, lässt nichts Gutes für die vielen Unternehmen da draußen erahnen, die APIs als Teil ihrer IT-Systeme und Endpunkte nutzen. 

Generell müssen wir noch viel mehr tun, um API-Schwachstellen nicht nur zu finden und zu beheben, sondern sie als Teil der Angriffsfläche zu verstehen, die wir schützen sollen. Die Sichtbarkeit von APIs - und wie sie erstellt wurden - ist ein großes Anliegen und sollte als Teil der Best Practices für Sicherheit gefordert werden. Selbst ein Unternehmen mit den strengsten Sicherheitsmaßnahmen kann durch eine API, die veröffentlicht wird und außerhalb der Sicherheitskontrollen des Unternehmens arbeitet, in Gefahr geraten. Es ist wichtiger denn je, sich zu fragen, woher eine API kommt, wer sie letztendlich verwaltet (ist es ein Drittanbieter? Wie streng sind seine Sicherheitsmaßnahmen?) und auf welche Informationen sie zugreift. 

Injection-Schwachstellen bleiben für jeden CISO ein Dorn im Auge.

API-Sicherheit scheint ein relativ neues Modul zu sein, das in ein Sicherheitsprogramm aufgenommen werden sollte, aber es kann mit einigen (sehr) alten Tricks ausgenutzt werden, die wir von gewöhnlicher Web-Software kennen.

Ein kürzlich bekannt gewordener Angriff auf Accellion zeigte, dass verkettete SQL-Injection- und OS-Befehlsausführungs-Angriffe es den Bedrohungsakteuren ermöglichten, APIs zu manipulieren und eine beträchtliche Menge sensibler Daten zu extrahieren, einschließlich Sozialversicherungsnummern. Es wurde festgestellt, dass die Angreifer umfangreiche Kenntnisse über die FTA-Software von Accellion haben mussten, um den Raub durchzuführen, was durch umfangreiches Reverse Engineering möglich gewesen wäre.

Da der Einbruch im Dezember 2020 und Januar 2021 stattfand, hatten die Diebe genügend Zeit, um Schaden anzurichten. Weitere Entdeckungen im Februar 2021 deckten eine gespeicherte XSS-Schwachstelle auf, wobei die forensische Analyse ergab, dass nur ein API-Endpunkt mit nicht ordnungsgemäß bereinigten Benutzereingaben es ermöglichte, ein Argument beim Aufruf des Skripts admin.pl zu injizieren.

Bei über 3000 Kunden, darunter viele renommierte Bildungseinrichtungen, könnte dieser Verstoß weitreichende Folgen haben. Leider wurden diese Angriffe durch die Ausnutzung allgemeiner Schwachstellen ermöglicht, von denen viele von sicherheitsbewussten Entwicklern bereits auf Code-Ebene und vor der Produktion hätten behoben werden können. Wie wir immer wieder sehen, braucht es nur ein kleines offen gelassenes Fenster, um große Probleme zu verursachen. Und eine Kultur der von Menschen geführten Cyber-Verteidigung muss Teil der Strategie sein, um ein sehr menschliches Problem zu lösen.


Möchten Sie jetzt Ihre API-Sicherheitskenntnisse testen in Java Spring API, Kotlin Spring API, C# (.NET) Web API und mehr? Probieren Sie einige API-Herausforderungen auf unserer Learning Platform aus (prüfen Sie alle Sprachen:Frameworks über das Dropdown):

Banner, auf dem steht, dass Sie Ihre API-Sicherheitskenntnisse mit echtem Code auf Ihre Weise testen können
Versuchen Sie es doch mal.


Wir bitten Sie um Ihre Erlaubnis, Ihnen Informationen über unsere Produkte und/oder verwandte Themen der sicheren Codierung zuzusenden. Wir werden Ihre persönlichen Daten immer mit äußerster Sorgfalt behandeln und sie niemals zu Marketingzwecken an andere Unternehmen verkaufen.

Um das Formular abzuschicken, aktivieren Sie bitte "Analytics"-Cookies. Sie können die Cookies wieder deaktivieren, sobald Sie fertig sind.