为了让大家的API更加安全,致力于守护数字世界每一次网络调用,小阑公司 PortalLab实验室的同事们给大家整理了9月份的一些API安全漏洞报告,希望大家查漏补缺及时修复自己API可能出现的漏洞。
No.1 Hadoop Yarn资源管理系统REST API未授权访问漏洞
漏洞详情:Hadoop是一款由Apache基金会推出的分布式系统框架,它通过著名的 MapReduce 算法进行分布式处理,Yarn是Hadoop集群的资源管理系统。此次事件主要因Hadoop YARN 资源管理系统配置不当,导致可以未经授权进行访问,从而被攻击者恶意利用。攻击者无需认证即可通过REST API部署任务来执行任意指令,最终完全控制服务器。
漏洞危害:Hadoop Yarn资源管理系统未授权访问漏洞是指攻击者可以利用该漏洞来获取到Yarn资源管理系统的敏感信息,甚至可以通过该漏洞在Hadoop分布式计算集群中任意执行命令,导致系统受到攻击和破坏。攻击者可以向Yarn的ResourceManager(资源管理器)组件发送未认证的REST API请求,利用此漏洞操纵集群资源和运行作业,可能导致敏感数据泄露,如用户凭据、Hadoop 集群的配置信息等。
影响范围:Hadoop YARN 2.9之前版本和3.0之前版本中,所有应用程序都受到影响。
小阑建议
• 更新至最新版本的Hadoop YARN,其中包含对该漏洞的修复。
• 启用Kerberos身份验证和授权,为Hadoop集群中使用的各种组件和服务提供严格的用户身份验证和授权机制。
• 配置合适的防火墙规则以阻止未经授权的外部访问Hadoop Yarn集群和REST API接口。
• 实施严格的访问控制策略,为Hadoop集群中的各个组件和模块分配最少的特权,并仅允许受信任的用户或主机访问特定组件和端口。
• 实时监控Hadoop Yarn集群的运行状况,记录相关日志并对系统活动进行审计以便及时发现异常行为。
No.2 谷歌云中的GhostToken漏洞
漏洞详情:GhostToken漏洞是指攻击者能够利用谷歌云服务中的某个API密钥,实施跨项目和跨组织的未授权访问。
具体来说,通过伪造特定格式的令牌进行请求,在未经授权的情况下访问其他项目或组织的资源。
Google Cloud为应用程序提供了30天的宽限期,在应用程序被计划删除的时间起到永久删除之前。这个宽限期是为了让管理员有机会恢复错误删除的资源。在待删除状态下,应用程序(以及其相关资源,如OAuth2令牌)对平台用户不可见。Astrix的研究人员发现,如果在30天的窗口内取消了应用程序的待删除操作,则应用程序及其所有关联资源将被恢复。他们用OAuth2令牌进行了测试,发现该令牌仍然可以访问其原始资源。
他们描述了如何使用此删除/待删除/取消删除循环来有效地从用户的Google Cloud门户应用程序管理页面中隐藏一个恶意应用程序,使用以下攻击流程:
使用这种技术,攻击者可以有效地永久隐藏他们的应用程序,除了每30天执行恢复/删除步骤的短暂窗口。
漏洞危害:攻击者可以通过应用程序市场针对Google Cloud用户进行攻击。根据发现该漏洞的Astrix的研究人员称,它可以允许攻击者访问目标账户的Google Drive、Calendar、Photos、Google Docs、Google Maps和其他Google Cloud平台服务。
影响范围:GhostToken漏洞可能影响使用谷歌云服务的项目和组织。具体受影响的范围取决于每个项目和组织配置的权限设置。
小阑建议
• 更新SDK和依赖项:确保使用的谷歌云SDK和相关依赖项是最新版本,以获取对已知漏洞的修复。
• 密钥和凭据管理:审查和管理项目中的API密钥和凭证,确保合理的授权和访问控制策略。密钥不应该泄露给未经授权的人员。
• Least Privilege原则:将最小权限原则应用于项目和组织的访问控制策略,确保每个用户或服务账号仅具有执行其任务所需的最低权限。
• 审计和监控:实施日志记录、审计和监控措施,及时检测和响应异常行为或未经授权的访问。
• 更新公共代码库和框架:如果使用了第三方代码库或框架,及时更新以修复已知的安全漏洞,同时密切关注安全公告和更新。
No.3 JumpServer未授权访问漏洞
漏洞详情:9月19日,JumpServer发布了JumpServer的风险通告,漏洞编号为CVE-2023-42442。该漏洞存在于JumpServer中,是一个未授权访问漏洞。api/api/v1/terminal/sessions/权限控制存在逻辑错误,可以被攻击者匿名访问。未经身份验证的远程攻击者可利用该漏洞下载ssh日志,并可借此远程窃取敏感信息。存储在 S3、OSS 或其他云存储中的ssh会话不受影响。
漏洞危害:攻击者可以利用该漏洞绕过认证机制,未经授权地访问JumpServer管理系统,并获取到敏感信息或执行未经授权的操作,如远程访问服务器、执行命令、篡改系统配置等。
影响范围:
小阑建议
•使用强密码策略,启用多因素身份验证等增强认证方式,防止通过猜测密码或弱密码进行未授权访问。
•审查和配置合适的访问控制策略,限制访问JumpServer管理系统的IP地址范围,只允许受信任的主机或网络进行访问。
•将JumpServer管理系统部署在独立的安全子网中,并确保与其他不相关的系统和网络隔离,以减少攻击面。
•分配最小特权原则,确保每个用户仅具有其工作所需的最低权限,并定期审查和更新权限设置。
No.4 SAMSUNG Mobile devices 安全漏洞
漏洞详情:SAMSUNG Mobile devices是韩国三星(SAMSUNG)公司的一系列的三星移动设备,包括手机、平板等。
SAMSUNG Mobile devices 6.24.2.011之前版本存在安全漏洞,该漏洞源于输入验证不正确。攻击者利用该漏洞可以写入任意文件。
漏洞危害:攻击者可以绕过正确的身份验证机制,以未经授权的方式访问敏感或受限制的数据。攻击者还可以可以使用伪造的身份信息冒充合法用户,进行欺骗、非法操作或违规行为,给用户和系统带来损失。
影响范围:在版本14.5.01.2之前的Gallery的LocalProvider中存在身份验证不当问题。
小阑建议
•使用更强大的身份验证机制,如多因素身份验证、双因素认证等,确保只有合法用户能够成功通过验证。
•实施严格的访问控制策略,仅允许授权用户访问敏感数据,并根据权限级别对用户进行分类和授权管理。
•启用详细的日志记录和审计功能,对身份验证事件进行监控和分析,及时发现异常活动并采取相应措施。
•及时安装厂商提供的安全补丁和更新,以修复身份验证问题并增强系统的安全性。
No.5 泛微e-office10 远程代码执行漏洞
漏洞详情:泛微e-office10是一款专业的协同OA软件,支持全终端,移动功能显著,包括知识文档管理、流程管理、项目管理、客户管理、费用管理、协作区、任务管理等功能模块。泛微e-office10 在 10.0_20230821 版本之前存在远程代码执行漏洞。
漏洞危害:未经授权的攻击者可以构造特制的请求包进行利用,从而进行任意代码执行,控制服务器。攻击者可以执行恶意代码来破坏系统的功能、篡改数据或引发系统崩溃,导致服务不可用。
影响范围:泛微e-office10 < 10.0_20230821
小阑修复建议
• 及时安装官方发布的漏洞修复补丁,确保系统处于最新修复状态。
• 使用强密码策略,启用多因素身份验证,确保只有合法用户可以访问系统。
• 启用详细的日志记录和审计功能,监控系统活动,及时发现异常行为并采取相应措施。
• 定期进行系统的漏洞扫描和安全评估,及时修复漏洞并加固系统安全。
No.6 WordPress plugin Media from FTP 安全漏洞
漏洞详情:WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。WordPress plugin Media from FTP 11.17之前版本存在安全漏洞,该漏洞源于权限管理不当。攻击者利用该漏洞可以移动文件位置或执行任意代码。
漏洞危害:权限管理不当可能使得攻击者获得超出其授权范围的权限,从而能够访问受限资源、敏感数据或系统功能。缺乏恰当的权限管理可能使攻击者能够在系统内横向移动,获取更高权限,进一步扩大攻击范围,造成更大的损失。另外,权限管理不当可能导致违反安全合规性要求,如GDPR、HIPAA等,面临法律诉讼和罚款等风险。
影响范围:WordPress plugin Media from FTP 11.17之前版本存在安全漏洞。
小阑建议
•为用户和系统分配最低必要权限,避免过度授权和权限泄露。
•采用角色和权限模型,将权限分配到逻辑角色上,便于管理和维护,同时避免直接给予个别用户过高权限。
•使用强大的身份验证机制,如多因素身份验证和双重验证,确保只有合法用户能够成功通过验证。
•定期审查和更新用户的权限,及时清理不再需要的权限,确保权限与用户职责的匹配。
•进行定期的安全审计和合规性评估,确保权限管理符合相关法规和标准的要求。
