AppSec-Vorhersagen 2021: Angreifer schwenken zunehmend auf APIs um

This is the second in a three-part series of AppSec predictions for 2021.  You can read the complete series here.

(Fast) jedes Jahr veröffentliche ich unsere AppSec-Prognosen über die drei Bedrohungen, die im kommenden Jahr eine besonders große Herausforderung darstellen könnten. In den vergangenen zwei Jahren lauteten die Prognosen: Credential-Stuffing/Account-Takeover-Angriffe, API-Angriffe undSupply-Chain-Angriffe. Dieses Jahr kommen die Informationen für unsere Vorhersagen von unserem erweiterten Threat Intelligence Service, einem Teil von Barracuda Advanced Bot Protection. Kurz, unsere Schlussfolgerungen werden von deutlich mehr Daten untermauert.

Angreifer schwenken zunehmend von Webanwendungen auf APIs um

Die meisten Apps werden heutzutage mit einer API-First-Strategie entwickelt. Durch diese beschleunigte Entwicklungsweise kann die Anwendung viel schneller veröffentlicht werden. So entstehen auch neuere Arten von Anwendungen wie Single Page Applications, die für die Arbeit mit mobilen Browsern konzipiert sind und mobile Apps simulieren, ohne dass eine App installiert werden muss.

„Bis 2021 werden mindestens ein Drittel der Unternehmen eine Multi-Experience-Entwicklungsplattform zur Unterstützung mobiler, Web-, Dialog- und Augmented-Reality-Entwicklung implementiert haben.“​

Gartner’s API Strategy Maturity Model, Oktober 2019​

Bemerkenswert ist, dass bei dieser Art von Anwendung der Benutzer direkten Zugriff darauf hat. Sehen wir uns kurz an, wie Webanwendungen im Vergleich zu API-basierten Anwendungen funktionieren: Bei einer Webanwendung nimmt der Browser eine Vermittlerposition ein. Der Browser kommuniziert mit der Anwendung, die Anwendung führt auf Anfrage bestimmte Aktionen aus und antwortet über den Browser. Die Geschäftslogik ist in der Anwendung komplett versteckt und die meisten Angriffe sind bekannt. Bei API-basierten Anwendungen befindet sich die Geschäftslogik direkt in der Anwendung. Sie fragt Daten über die API ab und führt anschließend die Geschäftslogik auf dem Gerät des Endbenutzers aus. Wenn jemand den API-Datenverkehr abfängt, kann er den Backend-Server identifizieren, die Logik ermitteln und verschiedene Prüfungen durchführen, um Lücken zu identifizieren und das System anzugreifen.

APIs sind außerdem noch gefährlicher, weil sie direkten Zugriff auf viele sensible Informationen bieten. Ihre Bank-API kann Zugriff auf Ihre Sozialversicherungsnummer, Ihre Ausweisnummer oder Ihr Geburtsdatum geben. Eine unzureichend geschützte API ermöglicht es Angreifern, große Mengen dieser Daten abzurufen.

„APIs sind das neue Aushängeschild, aber die Sicherheitstechnologie hinkt hinterher.“

Forrester: API Insecurity: The Lurking Threat In Your Software, Oktober 2020

Forrester stellt richtig fest, dass APIs nun einmal hier sind – aber die Sicherheitstechnologie hat nicht Schritt gehalten. Das gilt für die meisten neuartigen Technologien. Bei APIs sind einige sich wiederholende Muster erkennbar: fehlendes Rate Limiting (die Begrenzung der Anfragemöglichkeiten), fehlende Zugriffskontrolle und Autorisierung, fehlende rollenbasierte Kontrollen – und vor allem die Offenlegung von APIs, die im Internet getestet werden. Kürzlich kam es daher zu einer Reihe von öffentlichkeitswirksamen Datenschutzverletzungen, z. B. bei Airtel, Just Dial usw.

Die meisten Apps werden heutzutage mit einer API-First-Strategie entwickelt. Durch diese beschleunigte Entwicklungsweise kann die Anwendung viel schneller veröffentlicht werden.Twittern

Verbreitung der Top-10-API-Schwachstellen von OWASP

API-Angriffe gelten inzwischen als so gefährlich, dass es eine Top-10-Liste für APIs von OWASP gibt. Die neue Top-10-Liste für APIs von OWASP zählt einige bekannte Angriffe der letzten Jahre aus den Listen der Webanwendungen. Alte Angriffe werden zu neuen, und in einigen Fällen scheint es, als hätten wir aus der Vergangenheit nichts gelernt. Angeführt werden einige der größten Bedrohungen. Rate Limiting ist eine davon. Dieses Problem tritt an vielen verschiedenen Stellen auf. Vor zwei Jahren gab es zum Beispiel eine TMobile-Apple-API für das Onboarding neuer Telefone, die kein Rate Limiting hatte. Man konnte beliebig oft versuchen, den PIN-Code eines Benutzers herauszufinden.

Außerdem stehen Injektionsangriffe wie SQL-Injektion schon lange hoch oben auf den Web-Listen – und gefährden weiterhin API-basierte Anwendungen. Ganz oben steht BOLA. Diese Schwachstelle verursachte ein großes Problem, als Shopify vor einigen Jahren eine API ohne ordnungsgemäße Autorisierungskontrollen freilegte. Das Unternehmen prüfte nicht die Zugriffsberechtigungen für die Umsatzdaten von Shops, die auf ihrer Plattform gehostet werden, und veröffentlichte letztendlich die Daten vieler Shops.

Die Top-10-Liste für APIs von OWASP ist somit eine gute Idee, da sie Entwicklern Anhaltspunkte bietet, wogegen sie ihre APIs sichern sollten.

„Es wird oft APIs die Schuld zugeschoben, obwohl die Schwachstelle in Wirklichkeit bei der Anwendung, der Infrastruktur oder beim Benutzer liegt.“

Forrester: API Insecurity: The Lurking Threat In Your Software, Oktober 2020

Das gilt besonders für APIs. Entwickler geben letztendlich Informationen wie API-Schlüssel auf öffentlichen GitHub-Repositories preis und machen dann ein verdutztes Gesicht, wenn die API gehackt wird.

Machen Sie sich dieses Jahr auf viele öffentlichkeitswirksame API-Pannen (wie kürzlich bei der Parler iOS-App, bevor sie stillgelegt wurde) gefasst.

Nächste Woche geht es mit Teil 3 der Reihe weiter. Weitere Informationen zu Anwendungssicherheit erhalten Sie in der informativen Podiumsdiskussion unserer Experten, in der sie über aktuelle Cybersecurity-Trends, Webanwendungssicherheit, Technologieprognosen für das Jahr 2021 und vieles mehr sprechen. Dieses Webinar ist kostenlos und on demand verfügbar:

Prognosen zur Anwendungssicherheit 2021: Bot-, API- und Supply-Chain-Angriffe
Webinar hier ansehen