为了让大家的 API 更加平安,致力于守护数字世界每一次网络调用,小阑给大家整顿了 6 月份的一些 API 安全漏洞报告,心愿大家查漏补缺及时修复本人 API 可能呈现的破绽。
No.1 MinIO 未受权信息泄露破绽
破绽详情:MinIO 是一个开源的对象存储服务,它提供了云存储性能,可用于存储和治理大量数据。然而,MinIO 在未正确配置和受权时可能存在信息泄露破绽(CVE-2023-28432)。
破绽危害:未受权信息泄露破绽指的是 MinIO 实例没有正确的访问控制设置,使得未经受权的用户可能拜访和下载存储在 MinIO 中的敏感数据。攻击者能够利用未受权拜访权限获取存储在 MinIO 中的敏感数据,例如个人身份信息、企业机密文件等。如果 MinIO 实例受到未受权拜访并导致数据泄露,用户可能失去对该服务的信赖,这可能对业务经营和名誉造成侵害。
影响范畴:在集群模式中,MinIO 的某些接口会因为信息处理不当而返回会返回所有环境变量,包含 MINIO_SECRET_KEY 和 MINIO_ROOT_PASSWORD,导致敏感信息泄露。应用分布式部署的所有用户都会受到影响。
小阑修复倡议
• 正确配置访问控制:在部署和配置 MinIO 实例时,确保正确设置拜访权限和受权策略。应用最小权限准则,只给予用户必要的拜访权限。
• 启用身份验证:确保所有用户都须要进行身份验证能力拜访 MinIO 实例。强制应用平安的认证办法,例如用户名和明码、拜访密钥等。
• 加密数据:采纳加密措施对存储在 MinIO 中的敏感数据进行加密,即便数据被盗取,也无奈解密和应用。
• 定期审查权限和拜访日志:定期审查 MinIO 实例的访问控制设置和拜访日志,及时发现异常流动并采取相应措施。
• 更新降级:定期降级 MinIO 到最新版本,以取得修复破绽和平安强化的补丁。
No.2 Joomla Rest API 未受权拜访破绽
破绽详情:Joomla Rest API 未受权拜访破绽(CVE-2023-23752),是因为 Joomla 对 Web 服务端点的访问控制存在缺点,鉴权存在谬误,导致未经身份认证的攻击者可结构歹意申请未受权拜访 RestAPI 接口,造成敏感信息透露,获取 Joomla 数据库相干配置信息。
破绽危害:此破绽危害等级高。Joomla 是一款风行的开源内容管理系统(CMS),其反对应用 Rest API 与内部应用程序进行交互。然而,Joomla Rest API 未受权拜访破绽是指在 Joomla 零碎中呈现的安全漏洞,使得攻击者能够通过未受权的形式拜访和利用 Rest API 接口。攻击者能够通过未受权拜访 Rest API 接口获取敏感信息,如用户凭据、配置文件、数据库信息等。这可能导致个人隐私泄露、数据泄露等问题。
影响范畴:4.0.0 <= Joomla <= 4.2.7。攻击者能够通过利用未受权的拜访权限,在服务器上执行恶意代码。这可能导致服务器被入侵,攻击者能够管制服务器并执行任意操作,包含篡改网站内容、植入后门等。
小阑修复倡议
• 及时更新:确保 Joomla 及其相干组件和插件放弃最新版本,以便修复已知的破绽。
• 访问控制:限度 Rest API 接口的拜访权限,只容许通过身份验证和受权的用户或应用程序拜访。能够通过配置访问控制列表(ACL)、应用 API 密钥进行身份验证等形式来实现。
• 强化认证机制:采纳更强的身份认证机制,如多因素身份验证(MFA)或令牌 -based 身份验证,以减少攻击者获取非法凭据的难度。
• 日志监控:开启日志性能并监控 Rest API 接口的拜访状况,及时发现异常行为,进行相应的响应和考察。
• 平安审计:定期对 Joomla 零碎和其相干组件进行平安审计,查看是否存在其余安全漏洞,并及时修复。
No.3 Argo CD 部署平台中的三个独立的 API 破绽
破绽详情:Argo CD 是 Kubernetes 中最受欢迎和增长最快的 GitOps 工具。当遵循 GitOps 部署模式时,Argo CD 能够轻松定义一组应用程序,它们在存储库中具备所需的状态以及它们应该部署的地位。部署后,Argo CD 会继续监控状态,甚至能够捕获配置漂移。一篇由 Security Boulevard 提供的破绽文章,涵盖了 Argo CD 部署平台中的三个独立的 API 破绽。
破绽危害:
第一个破绽(CVE-2023-22736)是一个容许绕过受权的重大破绽。Argo CD 软件中存在一个破绽,会使得歹意用户在没有失去受权的状况下,在零碎容许范畴外部署应用程序。
第二个破绽(CVE-2023-22482)是由不当受权导致的重大问题。因为 Argo CD 在验证令牌时没有查看受众申明,导致攻击者能够应用有效的令牌来获取权限。如果您应用的 OIDC 提供商同时为其余用户提供服务,那么您的零碎将承受来自这些用户的令牌,并依据用户组权限授予对应的权限,这就十分危险了。
第三个破绽(CVE-2023-25163)是 Argo CD 软件中的一个问题,会导致存储库拜访凭据泄露。这个破绽的重大水平中等,会在未能正确清理输入时,泄露敏感信息。
影响范畴:
第一个破绽(CVE-2023-22736)只影响启用了“任何命名空间中的应用程序”性能的用户,并且从 2.5.0 版本开始就存在。然而,当初 Argo CD 公布了 2.5.8 和 2.6.0-rc5 补丁来修复这个问题。如果您应用的是 Argo CD,请及时降级到最新版本以爱护您的系统安全。
第二个破绽(CVE-2023-22482)影响所有从 v1.8.2 开始的 Argo CD 版本。为了修复这个问题,Argo CD 公布了版本 2.6.0-rc5、2.5.8、2.4.20 和 2.3.14 中的补丁,引入了一个新的性能——“容许受众”,容许用户指定他们想要容许的受众。如果您正在应用 Argo CD,请尽快更新到最新版本并配置好“容许受众”,以爱护您的零碎。
第三个破绽(CVE-2023-25163)影响所有从 v2.6.0-rc1 开始的 Argo CD 版本。如果您正在应用受影响的版本,倡议尽快降级到更新的版本来修复这个破绽,以爱护您的系统安全。
小阑倡议
• 这些破绽再次强调了 API 安全性的重要性,也显示出公司必须高度关注爱护其 API。随着 API 在古代应用程序中的宽泛应用,攻击者越来越频繁地利用 API 破绽来入侵零碎。因而,爱护 API 曾经成为任何组织安全策略中的至关重要的一部分,须要采取安全措施和最佳实际来确保数据和零碎的平安。只有这样,能力保障企业在数字化时代取得最高程度的平安保障。