Barracuda full logo

OWASP Top 10 API-Sicherheitsrisiken: Falsche Sicherheitskonfiguration

Themen:
24. Juli. 2023
|
Paul Dughi

Auf Platz acht der  10 größten API-Security-Risiken 2023 des Open Worldwide Application Security Project® (OWASP) steht die falsche Sicherheitskonfiguration.

Angriffe wegen falscher Sicherheitskonfigurationen sind weit verbreitet und können für Unternehmen schwerwiegende Folgen haben. Durch proaktive Überwachung und automatisierte Sicherheitstests können jedoch zu behebende Fehlkonfigurationen entdeckt werden.

Angriffsvektoren

Angreifer suchen an API-Endpunkten nach ungepatchten Schwachstellen, ungeschützten Dateien oder unsicheren Standardkonfigurationen. Da die meisten Konfigurationen einem bestimmten Muster folgen, untersuchen Angreifer gängige Endpunkte, um ein Abbild der Systeme zu erstellen und sich unerlaubt Zugang zu verschaffen. Werden die Standardeinstellungen nicht geändert oder gibt es Unstimmigkeiten bei der Behandlung oder Verarbeitung von Anfragen, besteht die Gefahr, dass die Vektoren ausgenutzt werden können.

Nicht benötigte Dienste und veraltete Optionen können Angreifern weitere Angriffspunkte bieten.

Security-Schwächen

Eine falsche Sicherheitskonfiguration kann auf jeder Ebene des API-Stacks auftreten, vom Netzwerk bis zur Anwendung. Einerseits lassen sich falsche Einstellungen leicht ausnutzen, andererseits sind sie auch leicht zu erkennen. Automatisierte Tools können die Sicherheitslücken aufzeigen, die behoben werden müssen.

Geschäftliche Auswirkungen

OWASP stuft die potenziellen Auswirkungen auf Unternehmen als schwerwiegend ein. Durch Angriffe können:

  • Sensible Benutzerdaten bekannt werden
  • Sicherheitsmaßnahmen und Kontrollen umgangen werden
  • Wege für die Kontoübernahme oder Serverkompromittierung geschaffen werden
  • Das vollständige System übernommen werden

So funktionieren Angriffe auf die Sicherheitseinstellungen

Die heutigen Netzinfrastrukturen sind komplex. Selbst wenn Sie Ihre Endgeräte gesichert haben, können Angreifer durch falsch konfigurierte Sicherheitseinstellungen Sicherheitslücken aufspüren. So suchen Bedrohungsakteure beispielsweise nach veralteter Software oder nach Software, auf die nicht die neuesten Patches angewendet wurden.

Sobald eine falsche Konfiguration erkannt wurde, stehen den Angreifern verschiedene Taktiken zur Verfügung, um API-Schwachstellen auszunutzen, darunter:

Beispiele aus der Praxis

Es gab bereits mehrere öffentlichkeitswirksame Angriffe auf die Sicherheit durch Fehlkonfigurationen, darunter die Angriffe auf die United States Army Intelligence and Security Command, die zur Offenlegung streng geheimer Dokumente führten, und auf Accenture, wobei Passwörter, Schlüssel und Kundendaten offengelegt wurden.

Durch eine falsch eingestellte Genehmigung in Jira wurden die personenbezogenen Daten von NASA-Mitarbeitern und Informationen über geplante Projekte öffentlich. Ein Systemadministrator hat bei der Erstellung eines Dashboards versehentlich einer App die Berechtigung „Alle Benutzer“ zugewiesen, weil er dachte, dass nur Personen innerhalb des Unternehmens Zugriff darauf haben. Doch da lag er falsch.

So erkennen Sie Sicherheitslücken aufgrund von falschen Einstellungen

Falsche Sicherheitskonfigurationen können unentdeckt bleiben, bis sie missbraucht werden. Da Systeme selten statisch sind, ist ein wiederholbarer Absicherungsvorgang mit kontinuierlicher Automatisierung zur Einschätzung der Wirksamkeit von Konfigurationen und Einstellungen in allen Umgebungen unerlässlich.

Zu den häufigsten Bereichen, in denen nach Sicherheitsfehlkonfigurationen gesucht werden muss, gehören:

  • Verwendung der vom Anbieter bereitgestellten Standardpasswörter
  • Verzicht auf komplexe Passwörter
  • Ungeschützte Dateien oder Verzeichnisse
  • Ungepatchte Software
  • Unsachgemäß konfigurierte Sicherheitsfunktionen
  • Fehler beim Blockieren unveröffentlichter URLs
  • Verzeichnisüberquerung

So verhindern Sie Sicherheitslücken aufgrund von falschen Einstellungen

Die Verhinderung von Sicherheitslücken durch falsche Konfiguration macht die Verwaltung des gesamten API-Lebenszyklus erforderlich, damit eine ordnungsgemäß abgesicherte Umgebung aufgebaut werden kann. Administratoren sollten die Konfigurationen des gesamten API-Stacks überprüfen und aktualisieren, einschließlich der API-Komponenten, Cloud-Dienste und Berechtigungen sowie der Orchestrierungsdateien.

OWASP empfiehlt außerdem:

  • Alle eingehenden Inhaltstypen und Datenformate sind ausschließlich auf diejenigen Arten zu beschränken, die den geschäftlichen und funktionalen Anforderungen entsprechen.
  • Die gesamte API-Kommunikation mit API-Servern und allen vor- oder nachgelagerten Komponenten muss über einen verschlüsselten Kommunikationskanal erfolgen – egal, ob es sich um eine öffentlich zugängliche oder eine interne API handelt.
  • Um zu verhindern, dass Daten zurückgesendet werden, die für Angreifer nützlich sein könnten, sollten Schemata für die Nutzlast von API-Antworten durchgesetzt werden.

Die Verhinderung von Schwachstellen in der API-Sicherheitskonfiguration erfordert einen proaktiven Ansatz zur kontinuierlichen Überprüfung der Umgebung, damit Fehler erkannt und behoben werden können. Admins sollten auch den folgenden drei Bereichen große Aufmerksamkeit widmen.

Fehlermeldungen

Beschränken Sie Fehlermeldungen auf relevante Informationen. Häufig geben Fehlermeldungen Daten wie Stack-Traces, Systeminformationen, Datenbankstruktur und benutzerdefinierte Signaturen aus, die zum Definieren von Angriffsvektoren verwendet werden können.

Falsch konfigurierte HTTP-Header

Eine weitere häufige Fehlkonfiguration sind fehlende HTTP-Header oder falsch verwendete HTTP-Header. Wenn sie nicht richtig konfiguriert sind, können Angreifer Sicherheitslücken finden. Von einem browserbasierten Client aus zugängliche APIs sollten eine CORS-Richtlinie (Cross-Origin Resource Sharing) implementieren, die auch die entsprechenden Sicherheits-Header umfasst, und dafür sorgen, dass alle Server in der Serverkette eingehende Anfragen einheitlich verarbeiten, damit Fehlkonfigurationen ausgeschlossen sind.

Überflüssige Dienste

Wenn Sie unnötige Dienste nicht schließen, ist auch die API verwundbar. Oft sind ungenutzte Dienste nicht richtig abgesichert, weil sie nicht zur Verwendung vorgesehen sind. Bleiben sie jedoch offen, bieten sie Angriffspunkte.

On-Demand-Webinar: Die Top 10 der OWASP-API-Sicherheit – Was sich ändert und welche Auswirkungen dies auf Sie hat
Paul Dughi

Paul Dughi ist Journalist für digitalen Content sowie ein Veteran der Medienbranche. Er war Vice President Technology für eine Gruppe von Fernsehsendern und auch Geschäftsführer von sechs eigenen Fernsehsendern in Kalifornien. Zurzeit arbeitet er als CEO bei StrongerContent.com.

Verwandte Beiträge:
Systemschock: Die Ransomware Storm-0501 verlagert sich in die Cloud
Systemschock: Die Ransomware Storm-0501 verlagert sich in die Cloud
 Schließen Sie versteckte Sicherheitslücken mit Barracuda Managed Vulnerability Security
Schließen Sie versteckte Sicherheitslücken mit Barracuda Managed Vulnerability Security
 Wir stellen die neue KI-gestützte Cybersecurity-Plattform BarracudaONE vor
Wir stellen die neue KI-gestützte Cybersecurity-Plattform BarracudaONE vor
Cl0p-Ransomware: der schmierige Eindringling, der zuschlägt, während Sie schlafen.
Cl0p-Ransomware: der schmierige Eindringling, der zuschlägt, während Sie schlafen.
Den Blog durchsuchen

Der Ransomware Insights Bericht 2025

Wichtige Erkenntnisse über die Erfahrungen und Auswirkungen von Ransomware auf Unternehmen weltweit

Zum Report

Abonnieren Sie den Barracuda-Blog.

Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Managed Vulnerability Security: Schnellere Behebung von Schwachstellen, weniger Risiken, einfachere Compliance 

Erfahren Sie, wie einfach es sein kann, die von Cyberkriminellen bevorzugte Schwachstellen zu finden.

WEBINAR ANSEHEN

Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Erhalten Sie die neuesten Nachrichten, Forschungsergebnisse und Analysen direkt in Ihren Posteingang.