5月这几个API安全漏洞值得注意！

原创

小阑本阑

发布于 2023-06-02 07:35:32

7950

文章被收录于专栏：API安全API安全

5月份的一些API安全漏洞报告

希望大家查漏补缺

及时修复自己API可能出现的漏洞

No.1 微软.NET Core漏洞

漏洞详情：微软官方发布公告称，其.NET Core 2.1、3.1和5.0版本中存在一个漏洞（CVE-2023-31479），攻击者可以利用该漏洞在受影响的系统上查询、编辑、删除或添加文件（包括重要文件），从而导致系统被入侵的风险。

漏洞危害：微软.NET Core漏洞CVE-2023-31479是一种路径遍历漏洞。攻击者可以通过构造特定请求，利用此漏洞在.NET Core 2.1、3.1和5.0版本中执行未经授权的文件读取、编辑、删除或添加操作。

影响范围：包括使用.NET Core 2.1、3.1和5.0版本构建的应用程序和服务。

小阑修复建议

如果您使用.NET Core 2.1、3.1或5.0，请及时升级到已发布的修复版本。
如果您无法升级到较新版本的.NET Core，则可以考虑实施其他安全措施，例如限制对服务器上敏感文件的访问权限、禁用不必要的文件共享等。
鉴于该漏洞的重要性，小阑建议您评估系统是否需要进行安全审核，以确认是否存在其他相关漏洞。

No.2 关于AWS未记录的API安全漏洞

漏洞详情：Datadog 的安全研究人员发现了一个问题：AWS CloudTrail（一种日志记录服务）在 AWS 管理控制台中的表现与其他 AWS 服务不同。具体来说，它无法像其他服务那样记录未被记录的 API 操作。这意味着有些 API 操作可能不会被 CloudTrail 完整记录，从而导致日志信息不完整。

漏洞危害：指攻击者可以利用AWS API中未记录的接口和功能，执行未授权的操作或访问AWS资源。攻击者可能通过这种漏洞来获取敏感信息、篡改数据、操纵系统、滥用AWS资源等，导致企业遭受重大损失。

影响范围：这个问题影响了一些与安全敏感相关的 API，它们涉及到身份和访问管理（IAM）请求。由于日志记录制度存在这个缺陷，攻击者有可能调用这些 API 服务而不被发现。简单来说，这意味着有人可以在不留痕迹的情况下访问一些敏感的安全信息，给系统造成潜在风险。

小阑修复建议

启用全面的日志记录：确保所有关键系统和服务都启用了日志记录功能。这将有助于捕获潜在的安全事件和异常行为。
定期审查和更新：定期审查日志记录策略和监控设置以确保其充分覆盖新的服务、资源和应用程序。根据组织的需求和政策进行更新。
集中的日志管理：使用集中的日志管理解决方案来收集、存储和分析日志。这有助于更容易地发现潜在的问题并加快响应时间。
实时警报和通知：根据关键指标和异常行为设置实时警报。及时了解潜在的安全事件，并采取相应措施。
日志保留和备份策略：制定合适的日志保留和备份策略，确保日志信息可用且不易受损。适当的备份和归档可以避免数据丢失。
访问控制和权限管理：限制对日志文件和监控工具的访问，确保只有经过授权的人员可以访问和修改它们。
培训和意识：培训员工和相关人员了解日志记录和监控的重要性，提高整个组织对于安全事件和异常行为的警觉性。
定期审计和测试：定期对日志记录和监控策略进行审计，测试其有效性。这有助于发现潜在的漏洞并确保策略始终保持最新。
使用专业工具和服务：利用专业的日志记录和监控工具、服务以提高效率。

No.3 Wordle在线谜题API漏洞

漏洞详情：一位安全专家在《纽约时报》的在线游戏Wordle中发现了一个安全漏洞。这个漏洞暴露了游戏每天出现的谜题答案，并使得游戏的API（应用程序编程接口）容易受到黑客攻击。这位专家通过研究Wordle网页版程序的API，找到了当前谜题和未来谜题的答案。他利用Chrome浏览器里的开发者工具查看请求，发现返回的JSON文件包含了当前谜题的结果。而且，未来几天的JSON文件名也被嵌入到这个文件中，让他可以发送API GET请求来获取未来几天的谜题答案。此外，他还发现可以向服务器发送POST请求，从而修改网站上的内容，比如改变未来谜题的答案。这个漏洞说明，攻击者可以用简单的浏览器工具轻松地检查Web API，除了能通过API漏洞获取谜题答案外，还有可能修改网站内容。

漏洞危害：Wordle在线谜题API的漏洞危害是可以让攻击者通过暴力攻击或者其他手段轻易地获取到Wordle的正确答案，从而破解该谜题。这给玩家带来了一定的不公平性，也可能降低Wordle的娱乐性和可玩性。

影响范围：主要是针对使用Wordle API的网站或应用程序，如果这些网站或应用程序没有做好安全防护措施，那么用户的Wordle答案就可能被泄露。

小阑修复建议

建议开发者使用更强的加密算法来保护Wordle答案，并确保所有用户输入的数据都经过了严格的验证和过滤，以防止恶意输入。
另外，还可以考虑限制请求的速率，避免暴力攻击的发生。最好的情况是与Wordle API提供商联系，确保他们已经修复了这个漏洞，并且在更新后重新集成API。

No.4 Oracle WebLogic Server漏洞

漏洞详情：Oracle WebLogic Server漏洞（CVE-2023-3237）是一种远程代码执行漏洞。攻击者可以通过构造特定的请求，利用此漏洞在WebLogic Server中执行恶意代码并获取管理员权限，从而在受影响的系统上实施窃密、篡改和破坏等攻击行为。

漏洞危害：CVE-2023-3237漏洞是一种严重的远程代码执行漏洞。攻击者可以通过构造特定的请求，在未授权的情况下远程执行恶意代码，并完全控制受感染的系统和敏感数据。攻击者可以窃取敏感数据、加密数据然后要求赎金、篡改数据、破坏系统或植入后门等，这些都可能导致企业遭受重大损失。此漏洞也可能被利用来发起针对关键基础架构、重要应用程序和云环境等的定向攻击。

影响范围：该漏洞可能影响到企业的重要业务系统，使用如下版本的Oracle WebLogic Server是有影响的：

14.1.1.0
12.2.1.4.0
12.2.1.3.0

小阑修复建议

如果您的系统运行了受影响的版本，请尽快安装官方发布的补丁程序。
如果您无法立即安装补丁程序，则可以考虑使用其他防御措施，如禁用非必要的服务，关闭默认的Web控制台，限制对服务器端口的访问等。
对于一些必要的服务，如WebLogic管理控制台和T3协议端口，可以应用网络保护措施以限制其被攻击的风险。
如果您已经受到了攻击，应确保立即采取措施进行清除，并参考Oracle的安全建议来规避风险。

No.5 Strapi身份验证绕过漏洞

漏洞详情：Strapi是一种灵活的、开放源码的无头CMS，开发者可以自由选择自己喜欢的工具和框架，编辑器也可以轻松地管理和分发内容。通过使管理面板和API可扩展通过插件系统。Strapi出现身份验证绕过漏洞（CVE-2023-22893），Strapi 版本< 4.6.0中，当使用AWS Cognito login provider用于身份验证时，Strapi不会验证在OAuth 流程期间发出的访问或ID令牌。远程威胁者可以伪造使用 "None"类型算法签名的ID令牌，以绕过身份验证并冒充任何使用AWS Cognito login provider进行身份验证的用户。

漏洞危害：高危，攻击者可利用以上漏洞实现未经身份验证的远程代码执行。

影响范围：目前受影响的Strapi 版本：

CVE-2023-22621：Strapi 版本<= 4.5.5
CVE-2023-22894：3.2.1<= Strapi 版本< 4.8.0
CVE-2023-22893：3.2.1<= Strapi 版本< 4.6.0

小阑修复建议

官方已发布对应安全漏洞的修复版本，建议受影响的用户及时升级防护，（或者升级至最新版本），对应修复版本如下：

CNNVD-202304-1615 / CVE-2023-22621：Strapi 版本 >=4.5.6
CNNVD-202304-1613 / CVE-2023-22894：Strapi 版本 >=4.8.0
CNNVD-202304-1614 / CVE-2023-22893：Strapi 版本 >=4.6.0

No.6 Twitter的API漏洞

漏洞详情：Twitter API漏洞泄露了5万用户数据，包括他们的电子邮件地址、电话号码和Twitter ID，致使多达2亿用户受到影响。Twitter API漏洞被称为PII（个人身份信息）和社会工程的金矿，是因为这些漏洞可能导致泄露大量用户的私密信息，从而使攻击者能够利用这些信息进行进一步的攻击。

漏洞危害：当Twitter API存在漏洞时，它可能带来以下危险隐患：

个人身份信息泄露：通过API漏洞，攻击者可能获取到用户的用户名、电子邮件地址、电话号码等个人敏感信息。这些信息可被用于执行诸如钓鱼攻击、垃圾邮件发送等活动。
社交工程攻击：攻击者可利用获取到的用户信息进行社交工程攻击，例如伪装成朋友或权威机构，诱导受害者泄露更多信息或点击恶意链接。
账户劫持：攻击者获取用户信息后，可以尝试对用户账户进行暴力破解或利用已泄露的其他信息重置密码，从而控制受害者账户。
定向攻击：根据获取到的具体用户信息，攻击者可针对特定个人或企业展开定向攻击，如勒索软件攻击、内部网络入侵等。
身份盗窃：攻击者可利用泄露的个人身份信息进行身份盗窃，如冒充受害者进行金融交易、申请信用卡等。
隐私泄露：除了个人身份信息外，还可能泄露用户私密对话、关注列表、喜好等隐私数据，导致用户隐私被侵犯。

影响范围：该API漏洞会使Twitter用户面临诸多安全风险，不仅涉及个人隐私保护问题，还可能导致更严重的网络安全威胁。

小阑修复建议