3月这几个API安全漏洞值得注意

倪小平

No.1  影子API将带来不可预知的漏洞
漏洞详情：时至今日，许多企业没有准确的API库存清单，因此导致了一种新的威胁形式，即“影子API”。拥有成熟API开发流程的企业会保存一个API库存清单的资产目录，理想状态下会包含所有可用的API端点信息、可接受参数的细节、认证和授权信息等。然而，许多企业由于没有API库存清单，生产中的API和受益于持续开发的API将会偏离于它们在清单中的原始定义。在这两种情况下都会出现组织不可见的公开API，这些API被称为“影子API”，而许多应用会通过“影子API”被攻破，而企业对这些API了解甚少，甚至毫无察觉。
漏洞危害：影子API代表了一种日益增长的风险，可能会导致大规模数据泄露，而受到侵害的组织甚至不知道这种风险的存在。
影响范围：通过多种方式利用影子API，可用于访问敏感数据，还可用于造成拒绝服务攻击或欺诈性地向客户收费。
修复建议：
• 采用API标准，这会导致最小的API异常。遵守这些通用标准可以让开发人员尽可能地减少问题。
• 通过在早期阶段自动化API文档，开发人员可以轻松地节省在手动文档方面投入的大量精力。在CI/CD流程的帮助下，可以合并API文档更新。
• 在新的API版本发布之前，API安全专家应对遗留API进行安全审核，这样做有助于评估新版本中不可预见的安全风险。
• 持续的API库存监控有助于开发人员消除影子API的可能性。
No.2  乐高市场用户数据中的API漏洞


漏洞详情：Salt研究人员发现乐高（LEGO）的线上服务存在安全漏洞，不只可能让攻击者取得其他人账户完全控制权，还泄露PII以及敏感资料，同时攻击者也能够访问内部资料，而这可能导致内部服务器遭入侵。

漏洞危害：http://bricklink.com中两个API安全漏洞，第一个漏洞是发生在用户输入字段，在优惠券搜索的寻找用户名对话框中，存在一个跨站脚本（XSS）漏洞，攻击者能够设计连接，在终端用户的计算机上注入和执行程序代码，只要运用暴露在不同页面上的Session ID，连接跨站脚本，便能劫持Session并且接管账户。
第二个漏洞则是在上传至愿望清单页面，这页面让用户能够以XML格式上传想要的零件列表，而攻击者在这个页面便能够进行XML外部实体攻击（XEE），读取网页服务器上的文件，并以服务器端请求伪造（Server-side request forgery）来访问并且操作无法被直接访问的资讯，包括AWS EC2权限。
影响范围：乐高线上市场存在的两个严重漏洞，可泄露用户个人信息与服务器机密资讯。
修复建议：
• 避免XSS的方法之一主要是将用户所提供的内容输入输出进行过滤，许多语言都有提供对HTML的过滤。
• 过滤输入的数据，对例如：“ ‘ ”，“ “ ”，” < “，” > “，” on* “，script、iframe等危险字符进行严格的检查。这里的输入不仅仅是用户可以直接交互的输入接口，也包括HTTP请求中的Cookie中的变量，HTTP请求头部中的变量等。
• 对输出到页面的数据进行相应的编码转换，如HTML实体编码、JS编码等。
• 避免XEE的方法是先检查所使用的底层XML解析库，默认禁止外部实体的解析。
• 若使用第三方应用代码，需要及时升级补丁。
• 对用户提交的XML数据进行过滤，如关键词：<!DOCTYPE和<!ENTITY或者SYSTEM和PUBLIC等。
No.3  IBM WebSphere Application Server 代码注入漏洞


漏洞详情：WebSphere Application Server是企业级Web中间件，由于其可靠、灵活和健壮的特点，被广泛应用于企业的Web服务中。该漏洞编号为：CVE-2023-23477（CNNVD编号：CNNVD-202302-119）。成功利用此漏洞的攻击者，最终可远程在目标系统上执行任意代码。
漏洞危害：IBM WebSphere Application Server（WAS）是美国国际商业机器（IBM）公司的一款应用服务器产品。该产品是JavaEE和Web服务应用程序的平台，也是IBM WebSphere软件平台的基础。由于WebSphere Application Server对用户输入数据的验证存在缺陷，在特定条件下，未经身份验证的远程攻击者通过构造恶意的序列化数据，可实现在目标服务器上任意执行代码。
影响范围：CVSS评分为8.1，受影响版本：
• 5.0.0 <= WebSphere Application Server <= v8.5.5.19
• 0.0.0 <= WebSphere Application Server <= v9.0.5.7
修复建议：
• 目前官方已发布更新修复了该漏洞，请受影响的用户尽快安装进行防护。
•下载地址：https://www.ibm.com/support/pages/recommended-updates-websphere-application-server
No.4  Smartbi 远程命令执行漏洞


漏洞详情：Smartbi远程命令执行漏洞，漏洞编号暂无。攻击者可以通过利用路由匹配结合 JNDI 注入进行任意命令执行，导致系统被攻击与控制。利用此漏洞的攻击者，最终可远程在目标系统上执行任意命令。
漏洞危害：Smartbi是思迈特软件推出的商业智能BI软件，满足BI产品的发展阶段。思迈特软件整合了各行业的数据分析和决策支持的功能需求，满足最终用户在企业级报表、数据可视化分析、自助探索分析、数据挖掘建模、AI 智能分析等场景的大数据分析需求。Smartbi大数据分析平台存在远程命令执行漏洞，未经身份认证的远程攻击者可利用stub接口构造请求绕过补丁限制，进而控制JDBC URL，最终可导致远程代码执行或信息泄露。
影响范围：
• 威胁等级：高危；
• 影响面：高；
• 攻击者价值：高；
• 利用难度：低；
• 漏洞评分：9.8；
• 影响版本：v7 <= Smartbi <= v10.5.8
修复建议：
• 缓解措施：配置 WAF 规则，对数据包中有 clientRerouteServerListJNDIName 关键字数据包过滤。
• 官方已发布漏洞补丁及修复版本，请评估业务是否受影响后，酌情升级至安全版本。
• 小阑建议您在升级前做好数据备份工作，避免出现意外。