为了让大家的API更加安全,致力于守护数字世界每一次网络调用,小阑给大家整理了6月份的一些API安全漏洞报告,希望大家查漏补缺及时修复自己API可能出现的漏洞。
No.1 MinIO未授权信息泄露漏洞
漏洞详情:MinIO是一个开源的对象存储服务,它提供了云存储功能,可用于存储和管理大量数据。然而,MinIO在未正确配置和授权时可能存在信息泄露漏洞(CVE-2023-28432)。
漏洞危害:未授权信息泄露漏洞指的是MinIO实例没有正确的访问控制设置,使得未经授权的用户能够访问和下载存储在MinIO中的敏感数据。攻击者可以利用未授权访问权限获取存储在MinIO中的敏感数据,例如个人身份信息、企业机密文件等。如果MinIO实例遭到未授权访问并导致数据泄露,用户可能失去对该服务的信任,这可能对业务运营和声誉造成损害。
影响范围:在集群模式中,MinIO的某些接口会因为信息处理不当而返回会返回所有环境变量,包括MINIO_SECRET_KEY和MINIO_ROOT_PASSWORD,导致敏感信息泄露。使用分布式部署的所有用户都会受到影响。
小阑修复建议
• 正确配置访问控制:在部署和配置MinIO实例时,确保正确设置访问权限和授权策略。使用最小权限原则,只给予用户必要的访问权限。
• 启用身份验证:确保所有用户都需要进行身份验证才能访问MinIO实例。强制使用安全的认证方法,例如用户名和密码、访问密钥等。
• 加密数据:采用加密措施对存储在MinIO中的敏感数据进行加密,即使数据被盗取,也无法解密和使用。
• 定期审查权限和访问日志:定期审查MinIO实例的访问控制设置和访问日志,及时发现异常活动并采取相应措施。
• 更新升级:定期升级MinIO到最新版本,以获得修复漏洞和安全强化的补丁。
No.2 Joomla Rest API未授权访问漏洞
漏洞详情:Joomla Rest API 未授权访问漏洞(CVE-2023-23752),是由于Joomla对Web服务端点的访问控制存在缺陷,鉴权存在错误,导致未经身份认证的攻击者可构造恶意请求未授权访问RestAPI 接口,造成敏感信息泄漏,获取Joomla数据库相关配置信息。
漏洞危害:此漏洞危害等级高。Joomla是一款流行的开源内容管理系统(CMS),其支持使用Rest API与外部应用程序进行交互。然而,Joomla Rest API 未授权访问漏洞是指在Joomla系统中出现的安全漏洞,使得攻击者可以通过未授权的方式访问和利用Rest API接口。攻击者可以通过未授权访问Rest API接口获取敏感信息,如用户凭据、配置文件、数据库信息等。这可能导致个人隐私泄露、数据泄露等问题。
影响范围:4.0.0 <= Joomla <= 4.2.7。
攻击者可以通过利用未授权的访问权限,在服务器上执行恶意代码。这可能导致服务器被入侵,攻击者可以控制服务器并执行任意操作,包括篡改网站内容、植入后门等。
小阑修复建议
• 及时更新:确保Joomla及其相关组件和插件保持最新版本,以便修复已知的漏洞。
• 访问控制:限制Rest API接口的访问权限,只允许经过身份验证和授权的用户或应用程序访问。可以通过配置访问控制列表(ACL)、使用API密钥进行身份验证等方式来实现。
• 强化认证机制:采用更强的身份认证机制,如多因素身份验证(MFA)或令牌-based身份验证,以增加攻击者获取合法凭据的难度。
• 日志监控:开启日志功能并监控Rest API接口的访问情况,及时发现异常行为,进行相应的响应和调查。
• 安全审计:定期对Joomla系统和其相关组件进行安全审计,检查是否存在其他安全漏洞,并及时修复。
No.3 Argo CD部署平台中的三个独立的API漏洞
漏洞详情:Argo CD是Kubernetes中最受欢迎和增长最快的GitOps工具。当遵循GitOps部署模式时,Argo CD可以轻松定义一组应用程序,它们在存储库中具有所需的状态以及它们应该部署的位置。部署后,Argo CD会持续监控状态,甚至可以捕捉配置漂移。一篇由Security Boulevard提供的漏洞文章,涵盖了Argo CD部署平台中的三个独立的API漏洞。
漏洞危害:
第一个漏洞(CVE-2023-22736)是一个允许绕过授权的严重漏洞。Argo CD软件中存在一个漏洞,会使得恶意用户在没有得到授权的情况下,在系统允许范围外部署应用程序。
第二个漏洞 (CVE-2023-22482)是由不当授权导致的严重问题。由于Argo CD在验证令牌时没有检查受众声明,导致攻击者可以使用无效的令牌来获取权限。如果您使用的OIDC提供商同时为其他用户提供服务,那么您的系统将接受来自这些用户的令牌,并根据用户组权限授予对应的权限,这就非常危险了。
第三个漏洞(CVE-2023-25163)是Argo CD软件中的一个问题,会导致存储库访问凭据泄露。这个漏洞的严重程度中等,会在未能正确清理输出时,泄露敏感信息。
影响范围:
第一个漏洞(CVE-2023-22736)只影响启用了“任何命名空间中的应用程序”功能的用户,并且从2.5.0版本开始就存在。但是,现在Argo CD发布了2.5.8和2.6.0-rc5补丁来修复这个问题。如果您使用的是Argo CD,请及时升级到最新版本以保护您的系统安全。
第二个漏洞 (CVE-2023-22482)影响所有从v1.8.2开始的Argo CD版本。为了修复这个问题,Argo CD发布了版本2.6.0-rc5、2.5.8、2.4.20和2.3.14中的补丁,引入了一个新的功能——“允许受众”,允许用户指定他们想要允许的受众。如果您正在使用Argo CD,请尽快更新到最新版本并配置好“允许受众”,以保护您的系统。
第三个漏洞(CVE-2023-25163)影响所有从v2.6.0-rc1开始的Argo CD版本。如果您正在使用受影响的版本,建议尽快升级到更新的版本来修复这个漏洞,以保护您的系统安全。
小阑建议
• 这些漏洞再次强调了API安全性的重要性,也显示出公司必须高度关注保护其API。随着API在现代应用程序中的广泛使用,攻击者越来越频繁地利用API漏洞来入侵系统。因此,保护API已经成为任何组织安全策略中的至关重要的一部分,需要采取安全措施和最佳实践来确保数据和系统的安全。只有这样,才能保证企业在数字化时代获得最高水平的安全保障。
