Noticias

Dec 22, 2023

Cómo evitar el apocalipsis: una guía para encontrar API zombis

Inicio » Red de blogueros de seguridad » Cómo evitar el Apocalipsis: una guía para encontrar

Inicio » Red de blogueros de seguridad » Cómo evitar el apocalipsis: una guía para encontrar API zombis

Considere esta estadística de un informe reciente de Noname Security. Más que87% de sus encuestados están preocupados por los riesgos de seguridad de las API obsoletas o innecesarias. En el mundo de la piratería de API, los llamamosAPI de zombis.

Conoce el tipo de punto final de API del que estoy hablando. Son esas API olvidadas las que ya no se mantienen pero que aún existen para la "compatibilidad con versiones anteriores". Estas API pueden volverse obsoletas, poco confiables y vulnerables a la piratería. Un riesgo potencial de seguridad para cualquier aplicación que los utilice.

Es una clase tan importante de vulnerabilidad. Aterriza como#9en la lista de los 10 principales en seguridad de API de OWASP de 2023 como API9:2023 Gestión de inventario inadecuada.

Hablemos de eso antes de que el código incorrecto te atraviese y te unas a los muertos vivientes. (gemido... ya, es una broma de zombis bastante mala)

Encontrar API zombies es crucial para nosotros, ya que estas API desatendidas pueden ser una mina de oro de vulnerabilidades y lagunas de seguridad. Podemos explotar estas vulnerabilidades para obtener acceso no autorizado a los datos, eludir los controles de seguridad agregados a versiones posteriores e incluso comprometer sistemas completos cuando no se mantienen los parches continuos.

Las API tienden a volverse más frágiles con el tiempo. Esta es la razón por la cual las mejores prácticas de seguridad de API siempre hablan sobre la extinción y la desactivación de versiones anteriores.

Pero los equipos de seguridad que gestionan el riesgo no siempre están al tanto de las API expuestas gracias a la expansión de API. Y cuando más de un tercio (35%) de las organizaciones publican actualizaciones de sus API diariamente, y otro40%hágalo semanalmente, desde el punto de vista de la seguridad, se vuelve mucho más difícil realizar un seguimiento de todo el tráfico de la API.

Este es otro de los principales hallazgos de la investigación de Noname Security. Con la migración a la nube de las aplicaciones existentes y la adopción de servicios basados ​​en SaaS que brindan un nuevo valor empresarial, se espera que, en los próximos dos años, más del 50 % de las organizaciones encuestadas tengan API activas implementadas en todas sus aplicaciones.

En combinación con las arquitecturas de aplicaciones API-first que se están volviendo más frecuentes para los desarrolladores en estos días, la producción rápida de API sin duda conducirá a una mayor expansión de API y al riesgo de API más vulnerables.

Si bien una estrategia estricta de gobierno de API puede ayudar a mitigar este riesgo, la realidad es que es difícil administrar la expansión de API cuando el equipo de la aplicación consume API de terceros y, al mismo tiempo, también conecta datos a sistemas internos y externos que los equipos de seguridad pueden no tener. visibilidad a.

Si desea identificar API zombis dentro de una organización, hay varios pasos que puede seguir.

El primer paso consiste en crear un inventario de todas las API que se utilizan en la organización de destino. Esto incluye API tanto internas como externas. Esto lo ayudará a comprender el alcance del uso de la API e identificar posibles zombis que puedan existir. Las herramientas de descubrimiento de API pueden ayudar aquí durante el reconocimiento.

Una vez que tenga un inventario de las API, puede comenzar a analizar su uso. Esto implica observar la cantidad de solicitudes que se realizan a cada API, quién realiza las solicitudes y cómo se utilizan esas API. Esto puede ayudarlo a identificar las API que ya no se usan o que solo usan los sistemas heredados. Esto es mucho más difícil de hacer si está limitado a pruebas de caja negra. Sin embargo, si puede obtener acceso a los datos de tráfico de la puerta de enlace API, generalmente puede analizarlos.

Es importante verificar si las API de destino tienen control de versiones. El control de versiones permite la compatibilidad con versiones anteriores del punto final de la API. También significa que es posible que las versiones anteriores ya no se mantengan y que sean vulnerables. Verifique metadatos como ruta de URL, cookies, reclamos en tokens de acceso, encabezados HTTP personalizados y parámetros de solicitud HTTP para artefactos de control de versiones obvios. Si encuentra versiones desactualizadas de una API, primero debe considerar las amenazas de ataque allí.

Las API a menudo se descuidan y no se mantienen. Los signos de negligencia incluyen documentación desactualizada, falta de actualizaciones y falta de soporte o información de contacto. Si encuentra alguna API que tenga estos signos, podrían ser zombis. Preste especial atención a los metadatos que pueden exponer marcos y servicios más antiguos. No es raro toparse con una versión antigua de la API que se ejecuta en imágenes de contenedores realmente antiguas que pueden ser vulnerables.

Finalmente, debe realizar escaneos de seguridad en sus API para identificar cualquier vulnerabilidad de plataforma o marco. Esto puede ayudarlo a identificar cualquier riesgo potencial asociado con la infraestructura de sus API, incluidas las API zombis que pueden ser vulnerables a los ataques. Las herramientas de FOSS como nikto están diseñadas para hacer esto con bastante rapidez.

Una vez que haya identificado un punto final de API que podría ser un zombi, use BurpSuite para capturar una solicitud. Luego capture la misma solicitud a una versión más nueva y use Burp Comparer para ver qué es diferente. En cuestión de segundos, es posible que pueda identificar cambios en la carga útil que puede manipular. He hablado antes sobre la manipulación de datos API en lugares extraños. Debería poder seguir esa guía (especialmente la sección sobre cargas útiles corruptas) para comenzar a intentar explorar cómo eliminar la API zombie.

Preste especial atención a las propiedades JSON que se agregan o eliminan entre versiones en el cuerpo de la carga útil. Es posible que los desarrolladores hayan cambiado el esquema de datos de un objeto, lo que puede permitirle alterar una solicitud para exponer una vulnerabilidad de exposición excesiva de datos. Nunca se sabe si un desarrollador estaba exponiendo datos confidenciales de forma incorrecta en una versión anterior que ya se ha corregido.

Incluso puede ver que la versión anterior permite la modificación de los datos para desencadenar una vulnerabilidad de asignación masiva. De hecho, encontré un par de problemas de seguridad críticos de alta gravedad que permitieron la escalada de privilegios dentro de un inquilino que usaba esta táctica. Mientras que el desarrollador impedía el cambio de propiedades confidenciales en la nueva versión de punto final, la anterior no lo hacía, lo que me permitió contaminar los datos de la API y me dio más acceso del que esperaba la aplicación.

También debe verificar los encabezados en la respuesta HTTP en busca de diferencias que puedan indicar un cambio en la plataforma o el marco. La puerta de enlace API puede estar redirigiendo versiones anteriores a un servidor API interno que puede no tener los controles adecuados que poseen las nuevas versiones API. El uso de múltiples plataformas tecnológicas no es raro y la capacidad funcional o de seguridad puede ser diferente entre las versiones que pueden darle un punto de apoyo.

Algunos dicen que encontrar API en la sombra o API no autorizadas es un riesgo mayor para una empresa que los que plantean las API zombis.

no estoy de acuerdo

Se puede encontrar una API oculta a través del descubrimiento de API. Pero las API antiguas pueden permanecer inactivas y olvidadas durante algún tiempo a medida que se implementan nuevas API (o al menos nuevas versiones). Y ese código inactivo aumenta la fragilidad y la superficie de ataque de una API confiable.

A medida que los ataques a las API se vuelven más frecuentes y sofisticados, las organizaciones deben priorizar la seguridad de las API e implementar estrategias de control estrictas y las mejores prácticas para mitigar los riesgos de las API zombis. Al hacerlo, pueden evitar las consecuencias potencialmente catastróficas de las API zombies apocalípticas que pueden causar violaciones de datos, acceso no autorizado y compromiso del sistema.

Y usted, como pirata informático de API, puede ayudarlos a encontrar y erradicar a estos zombis antes de que los muerdan.

¿Le ha resultado útil? Entonces te puede interesar mi Guía definitiva de recursos de piratería de API. ¡Disfrutar!

La publicación Evitar el Apocalipsis: una guía para encontrar API zombis apareció primero en el blog de Dana Epp.

*** Este es un blog sindicado de Security Bloggers Network del Blog de Dana Epp escrito por Dana Epp. Lea la publicación original en: https://danaepp.com/guide-to-finding-zombie-apis