Spring4Shell ve Veeam RCE istismarı, 2022’nin ilk çeyreğinde listenin başında yer aldı
API ile ilgili güvenlik açıkları, artık yüksek önem derecesine sahip CVE’lerle ilişkilendirilen erişim denetimi kusurları ile kuruluşların başına bela olmaya devam ediyor.
API güvenlik firması Wallarm tarafından yayınlanan “1. Çeyrekte keşfedilen ve yararlanılan API güvenlik açıkları” başlıklı yeni bir teknik incelemeye göre, ilk çeyrekte API ile ilgili toplam 48 güvenlik açığı bulundu ve rapor edildi.
Rapora göre (PDF), endüstri standartlarına göre 18’i yüksek riskli olarak kabul edildi ve 19’u orta şiddette olarak etiketlendi.
Kamuya açıklanan kritik güvenlik açıkları, kendilerine 8.1 ile 10 arasında değişen CVSS v3 puanları kazandırdı.
En önemli API tehditleri
Hem OWASP Top 10 hem de OWASP API Security Top 10 standartlarını birleştiren siber güvenlik firması, en önemli API tehdidi açıklamalarını, bozuk erişim kontrolleriyle (veya OWASP standardına bağlı olarak bozuk işlev düzeyinde yetkilendirme) ve enjeksiyon saldırılarıyla ilgili sorunlar olarak sınıflandırdı.
Kriptografik arızalar, güvensiz tasarım, aşırı veri maruziyeti ve yanlış yapılandırmalar da dahil olmak üzere güvenlik kusurları da listeyi oluştururken, Q1 2022’de açıklanan en tehlikeli, istismar edilen API güvenlik açıkları enjeksiyon saldırıları, yanlış yetkilendirme veya tam bir atlama ve yanlış izin ataması ile ilgilidir.
2022’nin ilk çeyreğinde açıklanan ve rapor edilen en tehlikeli dört API güvenlik açığı listesinin başında, ‘Spring4Shell’ olarak da bilinen CVE-2022-22947 geliyor.
ARKA FON Spring4Shell: Microsoft, CISA sınırlı, vahşi sömürü konusunda uyardı
Spring4Shell iki güvenlik açığıyla bağlantılıdır: Spring Cloud Function’da bir SpEL ifadesi ekleme hatası olan CVE-2022-22963 ve Spring Framework’ün Java tabanlı Çekirdek modülünde uzaktan kod yürütmeye (RCE) yol açan bir kod yerleştirme saldırısı olan CVE-2022-22947 .
Bir geliştirici, Mart ayında kritik hata için açıktan yararlanma kodunu yayınladı ve derhal silinmesine rağmen, çalışan RCE kodunun yayınlanması, Spring4Shell’in Spring’in acil durum yamasını hızlı bir şekilde uygulaması gereken geliştiriciler için bir baş ağrısı haline gelmesini sağladı.
Güvenlik açığı, Spring Framework’ün popülerliği nedeniyle Log4j ile karşılaştırıldı. Çok geçmeden Microsoft ve CISA, sıfır gün kusurunun aktif olarak kullanılması konusunda uyardı. Saldırganlar daha sonra Mirai botnet’i büyütmek için hatadan yararlandı.
Hedeflenen kurumsal teknolojiler
API güvenlik açığı listesinin başındaki ikinci güvenlik açığı, Veeam Backup and Replication’da saldırganların kimlik doğrulaması olmadan uzaktan rastgele kod yürütmesine olanak tanıyan uygunsuz bir kimlik doğrulama hatası olan CVE-2022-26501’dir (CVSS 9.8). Veeam, çoğu kurumsal firma olan 400.000’den fazla müşteriyi desteklemektedir.
Kritik hatayı iki kişiyle birlikte açıklayan Positive Technologies araştırmacısı Nikita Petrov’a göre, CVE-2022-26501 “gerçek saldırılarda istismar edilme ve birçok kuruluşu önemli risklere sokma” potansiyeline sahipti.
Bir başkası 9.8 CVSS puanı atanan üçüncü kusur, kurumsal düzeyde bir açık kaynak ağ aracı olan Zabbix’i etkiler. SAML SSO kimlik doğrulamasını etkinleştirmek için varsayılan olmayan bir ayar kullanımdayken CVE-2022-23131 olarak izlenen aracın ön ucu, bir saldırgan yöneticinin kullanıcı adını bildiği sürece, ayrıcalık yükseltme ve yönetici oturumu ele geçirmeye açıktı.
BUNU DA BEĞENEBİLİRSİN Kritik yukarı akış yazılımlarının korunmasına yardımcı olmak için SOS.dev programı başlatıldı
Dördüncüsü, CVSS puanı 7,8 olan ancak yine de ciddi bir güvenlik açığı olarak kabul edilen daha düşük dereceli bir hata olan CVE-2022-24327’dir. JetBrains paketi hub’ında, aşırı izinlerle yanlışlıkla API anahtarlarını açığa çıkaran ve potansiyel olarak hesabın ele geçirilmesine veya ele geçirilmesine yol açan hub’a entegre geliştirici hesaplarıyla ilgili hata bulundu.
Son olarak, Wallarm bugün birçok siber saldırıda ortak bir payda olarak bir API güvenlik tehditleri kategorisini bir araya getirdi. Mitre tarafından “CWE-639: Kullanıcı Kontrollü Anahtar Üzerinden Yetkilendirme Atlaması” olarak tanımlanan sorunlar, anahtar değerlerin tahrif edilmesine ve kullanıcıların diğer kullanıcıların verilerine veya kayıtlarına izinsiz olarak erişmesine izin veren sistem yetkilendirme işlevini çevreler.
İşlevler arası temel iletişim yöntemleri olan API’ler, modern ağlar ve hizmetlerdeki kritik rolleri nedeniyle kullanımda oldukları sürece siber saldırganların hedefi olmaya devam edecek.
Son API güvenlik haberlerinde, açık kaynak korsanlık aracı GoTestWAF, API güvenlik savunmalarını test etmek için OWASP ve API açıklarını taklit eden API güvenlik platformu değerlendirme özelliklerini tanıttı.
ÖNERİLEN Açık kaynak kimlik yönetim sistemindeki güvenlik açığı Ücretsiz IPA, XXE saldırılarına yol açabilir