2023年8月API漏洞汇总

随着网络信息安全边界不断弱化，安全防护对象不断增加，攻击面愈发放大，对数据安全、信息安全提出了巨大挑战，同时也为网络信息安全市场打开了新的增量空间。API已经成为其面向内外部持续提高能力输出、数据输出、生态维系的重要载体。API经济已是产业互联网中一个重要的组成部分，通过API经济，促进各行各业的数据变更和业务升级。

为了更好的帮助企业保护好API资产和数据安全，避免因API安全问题给企业带来不必要的损失，星阑科技为大家整理了最新一期8月份的API漏洞报告，以便企业更好的进行查漏补缺，帮助企业建立网络安全全局观，不断强化行业自律，更好地进行数字化转型。

1.      【漏洞】Roblox未授权信息泄露漏洞

漏洞详情：据PC Gamer报道，大型在线游戏平台 Roblox（罗布乐思）近日遭遇重大数据泄露，约4000名开发者个人隐私信息被公开，其中包括 2017-2020 年期间参加过Roblox开发者大会的开发者信息，涵盖其姓名、电话号码、电子邮件地址、出生日期和实际地址。

漏洞危害：该漏洞最初发生在2020年12月18日，大约3943个账户被泄露。暴露的数据包括姓名、用户名、电话号码、电子邮件ID、IP地址、家庭地址、出生日期和T恤尺寸等敏感细节。Roblox表示他们已经联系了所有受影响的个人。受影响较小的用户收到一封表达歉意的电子邮件；受影响更严重的用户，他们收到道歉的同时得到了一年的身份保护。Roblox承认，第三方安全问题导致未经授权访问其创建者的个人数据子集。

影响范围：此次入侵主要影响了2017-2020年间为Roblox开发者举行的以往会议的与会者，他们现在面临着骚扰和身份盗窃等网络诈骗的风险。

小阑修复建议：

• 正确配置访问控制：确保正确设置访问权限和授权策略。使用最小权限原则，只给予用户必要的访问权限。
• 启用身份验证：强制使用安全的认证方法，例如用户名和密码、访问密钥等。
• 加密数据：采用加密措施对敏感数据进行加密，即使数据被盗取，也无法解密和使用。
• 定期审查权限和访问日志：定期审查访问控制设置和访问日志，及时发现异常活动并采取相应措施。
• 更新升级：定期升级最新版本，以获得修复漏洞和安全强化的补丁。

2.      【漏洞】Twitter API中断阻止登录漏洞

漏洞详情：全球范围内的Twitter用户在登录、退出账号、分享推文、点击链接以及查看图片时，遇到了一系列问题，Twitter API的中断阻止了用户的访问。这种影响范围广泛，几乎涉及到了所有使用Twitter的用户。由于对API后端进行了一些相对较小的更改，却引发了重大的中断问题，影响到了用户使用API以及移动和Web应用程序。

漏洞危害：全球范围内都有报告指出这次中断，用户们看到了与API访问相关的各种错误信息。甚至Twitter的支持人员在他们的Twitter帖子中承认了这次中断，埃隆·马斯克后来也表示“一个小小的API更改竟然会产生如此巨大的影响，并且最终需要完全重写”。

影响范围：这次中断发生在Twitter宣布计划关闭免费访问层之后不久。很显然，考虑到Twitter的规模，重新设计整个API系统将导致一定程度的不稳定。这对于用户来说会带来一系列问题：

• 服务不可用：由于API的中断，用户将无法使用相关的移动应用程序、网站或其他基于该API构建的服务。这将使他们无法完成所需的操作或获取必要的信息。
• 错误消息：在中断期间，用户可能会遇到与API访问相关的各种错误消息。这些错误消息会给用户带来困惑和不便，因为他们无法获得预期的结果或功能。
• 影响业务流程：对于那些依赖于API的企业和组织而言，中断可能会严重影响其业务流程。如果他们的核心功能依赖于API，中断将导致业务停滞，造成损失并影响用户体验。

小阑修复建议：

• 定期备份和监控：确保对API进行定期备份，这样在出现中断时可以快速还原至最近的可用状态。同时，设置监控系统来实时监测API的运行状态，及时发现并解决潜在问题。
• 逐步更新和测试：当需要对API进行更改时，采取逐步更新的方式，而不是一次性全面修改。在每个小的更改后，进行充分的测试，以确保更改不会引发不可预料的问题。
• 分布式容错策略：建立容错机制，以防止单点故障和中断。例如，可以考虑使用多个服务器或云平台，并在其中一个出现故障时自动切换至备用服务器。
• 实时通知和支持：在API中断期间，及时向用户提供准确的错误信息和状态更新。同时，提供快速响应和支持，帮助用户解决遇到的问题。

3.      【漏洞】PrestaShop SQL注入漏洞

漏洞详情：PrestaShop/paypal是PrestaShop网络商务生态系统的一个开源模块，提供paypal支付支持。在3.12.0至3.16.3版本的PrestaShop paypal模块中发现了一个SQL注入漏洞，允许远程攻击者获得权限，修改数据，并可能影响系统可用性。这个问题的原因是，用没有经过正确过滤的用户输入来构建SQL查询。

漏洞危害：攻击者可以在易受攻击的系统上执行任意 SQL 语句。根据正在使用的后端数据库， SQL 注入漏洞会导致攻击者访问不同级别的数据/系统。在某些情况下，可以读入或写出文件，或者在底层操作系统上执行 shell 命令。通过 SQL 注入攻击，黑客可以绕过验证登录后台，非法篡改数据库中的数据；还能执行任意的 SQL 语句，盗取用户的隐私数据影响公司业务等等。

影响范围：3.12.0 <= PrestaShop/paypal <= 3.16.3

小阑建议：

• 所有的查询语句都使用数据库提供的参数化查询接口，参数化的语句使用参数而不是将用户输入变量嵌入到 SQL 语句中。
• 对进入数据库的特殊字符'"\<>&*; 等进行转义处理，或编码转换。
• 确认每种数据的类型，比如数字型的数据就必须是数字，数据库中的存储字段必须对应为 int 型。
• 数据长度应该严格规定，能在一定程度上防止比较长的 SQL 注入语句无法正确执行。
• 网站每个数据层的编码统一，建议全部使用 UTF-8 编码，上下层编码不一致有可能导致一些过滤模型被绕过。
• 严格限制网站所用数据库账号的权限，给此用户仅提供能够满足其工作的权限，从而最大限度的减少注入攻击对数据库的危害。
• 避免网站显示 SQL 错误信息，比如类型错误、字段不匹配等，防止攻击者利用这些错误信息进行一些判断。

4.      【漏洞】Johnson Controls iSTAR Ultra未授权漏洞

漏洞详情：Johnson Controls Metasys ADS/ADX/OAS Servers是美国江森自控（Johnson Controls）公司的一种应用程序和数据服务器。Johnson Controls Metasys ADS/ADX/OAS servers 10.1.5之前的10系列版本和11.0.1之前的11系列版本存在安全漏洞，攻击者利用该漏洞可允许经过身份验证的用户将其他用户锁定在系统之外并接管他们的帐户。

漏洞危害：Johnson Controls Metasys ADS/ADX/OAS Servers的特定10系列版本和11系列版本存在安全漏洞，攻击者成功利用这些漏洞会通过应用程序可编程接口获取明文凭证。

影响范围：以下版本的 Metasys ADS/ADX/OAS 服务器受到影响：

• Metasys ADS/ADX/OAS 版本X：10.1.6 之前的所有版本
• Metasys ADS/ADX/OAS 版本X：11.0.3 之前的所有版本

小阑修复建议：

• 限制用户对敏感系统的访问：防止攻击者未授权访问企业系统或设备的另一个有效策略是，系统设立之初就限制授权访问，要求只有最值得信赖的员工才有权利访问，这种做法对于保护敏感的数据库和设备十分有效。
• 运用IP白名单：IP白名单与Web应用防火墙（WAF）可以让企业组织中的合法用户访问更加便利，在远程工作环境下特别有用，但是对于使用动态IP、访问代理或VPN的用户来说行不通。因此，远程用户最好是寻求固定的IP地址，无论这些IP地址是来自其自身的ISP，还是来自VPN/代理服务提供商。
• 监控登录活动：企业组织应该能够通过监控来发现异常的登录活动。例如，组织在部署了监控系统之后，就可以及时发现企业系统或设备中存在的可疑账户登录或异常登录活动，并采取相应的补救策略，如撤销账户访问权限以避免攻击。
• 定期运行漏洞扫描：由于攻击者总是在不停地伺机寻找未修补的漏洞，进而对目标网络实施未授权访问。因此，企业组织应定期进行漏洞扫描或选择聘请第三方专业人员，协助IT员工管理IT安全。
• 及时更新应用软件版本：未及时对存在漏洞的系统进行修补是对业务安全构成最大威胁的原因之一，同时也是最容易被企业组织忽视的一个问题。

5.      【漏洞】Apache RocketMQ远程命令执行漏洞

漏洞详情：Apache RocketMQ是一款开源的分布式消息和流处理平台，提供了高效、可靠、可扩展的低延迟消息和流数据处理能力，广泛应用于异步通信、应用解耦、系统集成以及大数据、实时计算等场景。该漏洞编号为CVE-2023-37582(CNNVD编号: CNNVD-202307-1076)。成功利用此漏洞的攻击者，最终可远程在目标系统上执行任意代码。

漏洞危害：该漏洞影响的是RocketMQ的NameServer服务（默认9876端口），如果NameServer服务端口暴露在外网，并且缺乏有效的身份认证机制，攻击者可以利用更新配置功能，以RocketMQ运行的系统用户身份执行命令。

影响范围：

• 0.0 <= Apache RocketMQ <= 4.9.6
• 0.0 <=Apache RocketMQ <= 5.1.1

小阑修复建议：

• 添加身份认证机制，确保只有授权用户才能访问和操作RocketMQ的消息队列。
• 官方已发布漏洞补丁及修复版本，请评估业务是否受影响后，酌情升级至安全版本。(4.x版本的用户建议升级RocketMQ 至9.7或以上版本，5.x版本的用户建议升级RocketMQ 至5.1.2或以上版本)。
• 建议在升级前做好数据备份工作，避免出现意外。

关于Portal Lab 实验室

星阑科技 Portal Lab 致力于前沿安全技术研究及能力工具化。主要研究方向为数据流动安全、API 安全、应用安全、攻防对抗等领域。实验室成员研究成果曾发表于BlackHat、HITB、BlueHat、KCon、XCon等国内外知名安全会议，并多次发布开源安全工具。未来，Portal Lab将继续以开放创新的态度积极投入各类安全技术研究，持续为安全社区及企业级客户提供高质量技术输出。