AppSec-Vorhersagen 2021: Angreifer schwenken zunehmend auf APIs um

Dies ist die zweite in einer dreiteiligen Reihe von AppSec-Vorhersagen für 2021.  Die komplette Serie können Sie hier nachlesen.

Jedes Jahr veröffentliche ich unsere AppSec-Vorhersagen über drei der Bedrohungen, die im kommenden Jahr voraussichtlich die größten Probleme darstellen werden. In den vergangenen zwei Jahren lauteten die Vorhersagen: credential stuffing/account takeover attacks, API attacks und supply chain attacks. In diesem Jahr stützen sich unsere Vorhersagen auf unseren erweiterten Threat Intelligence Service, der Teil von Barracuda Advanced Bot Protection ist. Kurz, unsere Schlussfolgerungen werden von deutlich mehr Daten untermauert.

Angreifer schwenken zunehmend von Webanwendungen auf APIs um

Die meisten Apps werden heutzutage mit einer API-First-Strategie entwickelt. Durch diese beschleunigte Entwicklungsweise kann die Anwendung viel schneller veröffentlicht werden. So entstehen auch neuere Arten von Anwendungen wie Single Page Applications, die für die Arbeit mit mobilen Browsern konzipiert sind und mobile Apps simulieren, ohne dass eine App installiert werden muss.

„Bis 2021 werden mindestens ein Drittel der Unternehmen eine Multi-Experience-Entwicklungsplattform zur Unterstützung mobiler, Web-, Dialog- und Augmented-Reality-Entwicklung implementiert haben.“​

Gartners API-Strategie-Reifegradmodell, Oktober 2019​

Bemerkenswert ist, dass bei dieser Art von Anwendung der Benutzer direkten Zugriff darauf hat. Sehen wir uns kurz an, wie Webanwendungen im Vergleich zu API-basierten Anwendungen funktionieren: Bei einer Webanwendung nimmt der Browser eine Vermittlerposition ein. Der Browser kommuniziert mit der Anwendung, die Anwendung führt auf Anfrage bestimmte Aktionen aus und antwortet über den Browser. Die Geschäftslogik ist in der Anwendung komplett versteckt und die meisten Angriffe sind bekannt. Bei API-basierten Anwendungen befindet sich die Geschäftslogik direkt in der Anwendung. Sie fragt Daten über die API ab und führt anschließend die Geschäftslogik auf dem Gerät des Endbenutzers aus. Wenn jemand den API-Datenverkehr abfängt, kann er den Backend-Server identifizieren, die Logik ermitteln und verschiedene Prüfungen durchführen, um Lücken zu identifizieren und das System anzugreifen.

APIs sind außerdem noch gefährlicher, weil sie direkten Zugriff auf viele sensible Informationen bieten. Ihre Bank-API kann Zugriff auf Ihre Sozialversicherungsnummer, Ihre Ausweisnummer oder Ihr Geburtsdatum geben. Eine unzureichend geschützte API ermöglicht es Angreifern, große Mengen dieser Daten abzurufen.

„APIs sind das neue Aushängeschild, aber die Sicherheitstechnologie hinkt hinterher.“

Forrester's API-Sicherheit: The Lurking Threat In Your Software, Okt. 2020

Forrester stellt richtig fest, dass APIs nun einmal hier sind — aber die Sicherheitstechnologie hat nicht Schritt gehalten. Das gilt für die meisten neuartigen Technologien. Bei APIs sind einige sich wiederholende Muster erkennbar: fehlendes Rate Limiting (die Begrenzung der Anfragemöglichkeiten), fehlende Zugriffskontrolle und Autorisierung, fehlende rollenbasierte Kontrollen — und vor allem die Offenlegung von APIs, die im Internet getestet werden. Kürzlich kam es daher zu einer Reihe von öffentlichkeitswirksamen Datenschutzverletzungen, z. B. bei Airtel, Just Dial usw.

Verbreitung der Top-10-API-Schwachstellen von OWASP

API-Angriffe gelten inzwischen als so gefährlich, dass es eine Top-10-Liste für APIs von OWASP gibt. Die neue Top-10-Liste für APIs von OWASP zählt einige bekannte Angriffe der letzten Jahre aus den Listen der Webanwendungen. Alte Angriffe werden zu neuen, und in einigen Fällen scheint es, als hätten wir aus der Vergangenheit nichts gelernt. Angeführt werden einige der größten Bedrohungen. Rate Limiting ist eine davon. Dieses Problem tritt an vielen verschiedenen Stellen auf. Vor zwei Jahren gab es zum Beispiel eine TMobile-Apple-API für das Onboarding neuer Telefone, die kein Rate Limiting hatte. Man konnte beliebig oft versuchen, den PIN-Code eines Benutzers herauszufinden.

Sie haben auch Injection-Angriffe wie die SQL-Injection , die seit langem ganz oben auf den Weblisten stehen — und weiterhin API-basierte Anwendungen plagen. Ganz oben steht BOLA. Diese Schwachstelle verursachte ein großes Problem, als Shopify vor einigen Jahren eine API ohne ordnungsgemäße Autorisierungskontrollen freilegte. Das Unternehmen prüfte nicht die Zugriffsberechtigungen für die Umsatzdaten von Shops, die auf ihrer Plattform gehostet werden, und veröffentlichte letztendlich die Daten vieler Shops.

Die Top-10-Liste für APIs von OWASP ist somit eine gute Idee, da sie Entwicklern Anhaltspunkte bietet, wogegen sie ihre APIs sichern sollten.

„Es wird oft APIs die Schuld zugeschoben, obwohl die Schwachstelle in Wirklichkeit bei der Anwendung, der Infrastruktur oder beim Benutzer liegt.“

Forrester: API Insecurity: The Lurking Threat In Your Software, Oktober 2020

Das gilt besonders für APIs. Entwickler geben letztendlich Informationen wie API-Schlüssel auf öffentlichen GitHub-Repositories preis und machen dann ein verdutztes Gesicht, wenn die API gehackt wird.

Machen Sie sich dieses Jahr auf viele öffentlichkeitswirksame API-Pannen (wie kürzlich bei der Parler iOS-App, bevor sie stillgelegt wurde) gefasst.

Kommen Sie nächste Woche für Teil drei in dieser Serie wieder. Weitere Informationen zu Anwendungssicherheit erhalten Sie in der informativen Podiumsdiskussion unserer Experten, in der sie über aktuelle Cybersecurity-Trends, Webanwendungssicherheit, Technologieprognosen für das Jahr 2021 und vieles mehr sprechen. Dieses Webinar ist kostenlos und on demand verfügbar:

Prognosen zur Anwendungssicherheit 2021: Bot-, API- und Supply-Chain-Angriffe
Webinar ansehen