واجهات برمجة التطبيقات المكشوفة والرموز المسربة: كيف تم اختراق عملاق أشباه الموصلات تقريبًا

تعمل واجهات برمجة التطبيقات على تشغيل المؤسسة الرقمية الحديثة، ولكن عندما يتم ترك الوثائق ونقاط الوصول مكشوفة، فإنها يمكن أن تتحول بسرعة إلى التزامات. كشفت مراجعة أمنية حديثة لشركة عالمية لتكنولوجيا أشباه الموصلات عن حالات متعددة من وثائق API التي يمكن الوصول إليها للجمهور - مما يوفر خارطة طريق محتملة للمهاجمين. توضح هذه المدونة المخاطر وتشرح كيف يمكن للمؤسسات العاملة في مجال التصنيع عالي التقنية حماية أصولها الرقمية بشكل أفضل.

ما الذي تم العثور عليه

حدد BeVigil WebApp Scanner العديد من حالات التعرض على مستوى البنية التحتية التي تم تحديدها، كل منها يزيد من خطر الوصول غير المصرح به والاستغلال:

1. وثائق مكشوفة = مخطط للهجوم: تساعد وثائق API المطورين - ولكن إذا تم الإعلان عنها، فإنها تساعد المهاجمين بنفس القدر. من خلال الوصول إلى تفاصيل ومعلمات نقطة النهاية، يمكن للجهات الخبيثة التخطيط بدقة لكيفية التفاعل مع أنظمة الواجهة الخلفية واستغلالها.
2. رموز المصادقة المعرضة للخطر: تسمح مساحات عمل Postman العامة التي تتضمن بيانات اعتماد أو رموز للمهاجمين بالعمل كمستخدمين شرعيين، مما قد يمنحهم وصولاً غير مصرح به إلى الأنظمة والبيانات.
3. نقاط الضعف المعروفة تترك الأنظمة مفتوحة: عند ترك مكونات البرامج القديمة ذات الثغرات المعروفة في مكانها، لا يحتاج المهاجمون إلى الإبداع - فهم يتابعون فقط ما تم توثيقه بالفعل في قواعد بيانات الثغرات الأمنية العامة.

لماذا يهم

• وثائق Swagger المكشوفة علنًا
  تم العثور على ملفات Swagger UI عبر الإنترنت دون قيود الوصول. توفر هذه الملفات عرضًا واضحًا لنقاط نهاية API وتنسيقات الطلبات المتوقعة وآليات المصادقة - مما يمنح المهاجمين رؤية تفصيلية حول كيفية اتصال الأنظمة الداخلية.

‍

• افتح الوصول إلى API عبر مساحة عمل Postman
  والأمر الأكثر إثارة للقلق هو أنه كان من الممكن الوصول إلى مجموعات API في مساحة عمل Postman العامة - ربما لا يزال بعضها مرفقًا برموز المصادقة. يمكن أن يسمح هذا النوع من التعرض للمهاجمين بانتحال شخصية المستخدمين أو تصعيد الوصول داخل الأنظمة.

‍

• مكون SAP قديم مع CVE معروف
  تم تحديد ثغرة أمنية معروفة (CVE-2022-22536) تتعلق بأنابيب الذاكرة، والتي يمكن أن تتسبب في حالات رفض الخدمة عند استغلالها، مما يهدد استقرار أنظمة الأعمال الحيوية.

ما يمكنك القيام به الآن

للحماية من هذه الأنواع من التعرضات، إليك بعض الإجراءات العملية وغير الفنية التي يمكن لفريقك اتخاذها اليوم:

• حافظ على خصوصية الوثائق الداخلية: تحقق جيدًا من أن وثائق API الخاصة بك (مثل ملفات Swagger أو مجموعات Postman) ليست متاحة للجمهور. شاركها فقط مع الأشخاص الذين يحتاجون إليها حقًا.
• إزالة الرموز الحساسة من الأدوات العامة: قم بمراجعة مساحات عمل Postman أو SwaggerHub وإزالة أي شيء يحتوي على رموز المصادقة أو بيانات المستخدم أو عناوين URL للنظام الداخلي.
• استخدم عناصر التحكم في الوصول افتراضيًا: افترض دائمًا أن أي وثائق أو أداة قد تصبح عامة عن طريق الخطأ. ضع الحماية بكلمة مرور أو قيود الوصول، حتى داخليًا.
• قم بتحديث الأنظمة القديمة على الفور: لا تؤخر التصحيحات الخاصة بالمشكلات المعروفة - خاصة إذا كانت ثغرات أمنية موثقة علنًا. يراقب المهاجمون الأنظمة غير المصححة.

أفكار نهائية

واجهات برمجة التطبيقات هي اللبنات الأساسية للبرامج الحديثة - ولكن عندما تُترك وثائقها مكشوفة، فإنها تصبح نقاط دخول للمهاجمين. تُعد هذه الحالة الأخيرة من شركة تكنولوجيا أشباه الموصلات بمثابة تذكير بأن ما هو مناسب للمطورين يمكن أن يكون مناسبًا أيضًا لمجرمي الإنترنت.

من خلال المسح الاستباقي للتعرضات وتشديد ضوابط الوصول والحفاظ على الأنظمة الحديثة، يمكن للمؤسسات تقليل مساحة الهجوم بشكل كبير. من خلال منصات مثل BeVigil من CloudSek، تكتسب الشركات الرؤية التي تحتاجها للعثور على هذه المشكلات وإصلاحها قبل أن تؤدي إلى الاختراق.