Barracuda full logo

OWASP Top 10 API-Sicherheitsrisiken: Unsichere Nutzung von APIs

Themen:
16. Aug.. 2023
|
Paul Dughi

Auf Platz 10 der Top 10 API-Sicherheitsrisiken für 2023 des Open Worldwide Application Security Project® (OWASP) liegt die unsichere Nutzung von APIs.

Bei der Arbeit mit bekannten Unternehmen und APIs von Drittanbietern besteht in der Regel ein höheres Maß an Vertrauen als bei einzelnen Nutzern. Wenn jedoch jemand die Drittpartei infiltriert, kann dieses Vertrauen missbraucht werden, wodurch Ihre Netzwerke gefährdet werden und eine unsichere Nutzung von APIs ermöglicht wird.

Angriffsvektoren

Diese Art von Angriff hat den Unternehmen erhebliche Probleme bereitet. Durch die Identifizierung und Kompromittierung anderer APIs oder Dienste, mit denen Ihre APIs interagieren, können sich Angreifer möglicherweise Zugang zu Ihren Systemen verschaffen. Diese Angriffe lassen sich nicht immer sofort erkennen, da der Datenverkehr über den Drittanbieter scheinbar autorisiert und authentifiziert ist. Selbst wenn Sie über solide Sicherheitskontrollen und Warnmeldungen verfügen, werden sie möglicherweise erst dann bemerkt, wenn Angreifer versuchen, auf nicht autorisierte Bereiche zuzugreifen.

Security-Schwächen

Die unsichere Nutzung von APIs ist ein ziemlich häufiger Angriffsvektor, insbesondere wenn Entwickler die Interaktion von Endpunkten mit externen oder Drittanbieter-APIs nicht überprüfen. Für diese APIs können weniger strenge Sicherheitsanforderungen gelten, wie z. B.:

  • Transportsicherheit
  • Authentifizierung
  • Autorisierung
  • Überprüfung der Eingabe
  • Hygiene

Geschäftliche Auswirkungen

Die Auswirkungen dieser Art von Sicherheitsrisiko variieren je nach Unternehmen und Branche, können jedoch schwerwiegend sein. Ein kompromittiertes System kann mit bösartiger Software und Ransomware infiziert werden. Das Abfließen sensibler oder geschützter Daten kann erheblichen Schaden anrichten. Die unsichere Nutzung von APIs kann die Quelle von Denial-of-Service-Angriffen sein.

Wie die unsichere Nutzung von APIs funktioniert

Die unsichere Nutzung von APIs kann so einfach sein, dass Angreifer Schwachstellen in anderen Anwendungen und Netzwerken ausnutzen und dann APIs verwenden, um durch eine Hintertür in Ihre Systeme einzudringen. Bedrohungsakteure könnten den Drittanbieter nutzen, um bösartige Payloads zu speichern, die als legitime Informationen getarnt sind. Wenn eine API diese Informationen in ihr System einspeist, wird die Payload ausgeführt und ruft Daten an einen vom Hacker kontrollierten Server ab.

Angreifer könnten auch einen Weg finden, APIs von Drittanbietern zu kompromittieren und Muster in den Antworten auf Anfragen zu erkennen. Mithilfe dieser Muster können sie Datenanfragen an den Angreifer umleiten, anstatt sie an den Dritten zurückzuleiten.

Beispiele aus der Praxis

Ein aktuelles Beispiel für eine unsichere Nutzung von APIs war die berüchtigte Log4Shell-Schwachstelle, die von der National Vulnerability Database (NVD) der Regierung in ihrer Bedrohungsbewertung mit 10 von 10 Punkten bewertet wurde. Apache Log4j ist im Code weit verbreitet und zeichnet sich durch einen recht freizügigen Zugang von benutzergesteuerten Eingaben über APIs aus. Wenn ein Dienst Log4j innerhalb seiner Codebasis verwendet, um eingehende API-Anfragen oder -Antworten zu protokollieren, könnte dieser Angriff beliebigen Code auf dem Server ausführen, der die Anwendung hostet.

Forscher fanden heraus, dass die API des Zahlungsanbieters Venmo missbraucht werden könnte, um Daten über Transaktionen und andere sensible Informationen abzugreifen. Die API war so konzipiert, dass sie einen Feed der Transaktionen auf der Startseite der App anzeigt, aber sie wurde für authentifizierte Anfragen offen gelassen, so die Forscher, die Daten von mehr als 200 Millionen privaten Transaktionen abgreifen konnten.

Ein online verfügbares Tool zur Standortverfolgung war für Demo-Zwecke gedacht, aber es wurde von Benutzern ausgenutzt, die die Authentifizierungsanforderungen leicht umgehen konnten. So konnten die Benutzer ihre Handynummern eingeben und den Aufenthaltsort der Nutzer verfolgen, bis die Demo vom Netz genommen wurde.

Erkennung der unsicheren Nutzung von APIs

Die Erkennung der unsicheren Nutzung von APIs erfordert ähnliche Ansätze wie andere API-Exploits, einschließlich der aktiven Überwachung von Nutzungsmustern, um ungewöhnliche Spitzen bei API-Anfragen von Nutzern, ungleichmäßige Verteilung des Datenverkehrs oder API-Anfragen für nicht-öffentlichen Gebrauch zu erkennen.

API-Scans können dabei helfen, ungeschützte APIs oder Endpunkte zur Schadensbegrenzung aufzudecken. Unternehmen können Penetrationstests einsetzen, um Schwachstellen aufzuspüren, und Benutzerverhaltensprofile erstellen, um Anomalien in der Basisanalyse zu erkennen.

Security-Teams müssen regelmäßig Zugriffs- und Fehlerprotokolle von API-Gateways auf ungewöhnliche Aktivitäten überprüfen, z. B. Anfragen von nicht authentifizierten IPs oder erhöhte Fehlerraten. Es sollten Alarme eingerichtet werden, um unsichere API-Zugriffe anhand von Warnzeichen zu erkennen. Dazu gehören Anfragen, die Grenzwerte überschreiten, auf Bot-Aktivitäten hinweisen oder wiederholte Token-Fehler verursachen.

Die Payloads sollten auch auf gängige Angriffsmuster wie bösartige Dateien, Code-Injektion oder Parametermanipulationen untersucht werden.

Verhinderung der unsicheren Nutzung von API-Schwachstellen

Entwickler müssen strenge Sicherheitsprotokolle für die Autorisierung und Authentifizierung einrichten und dabei besonders auf die APIs von Drittanbietern achten. OWASP empfiehlt:

  • Interaktion mit anderen APIs über verschlüsselte Kanälen
  • Validierung und Bereinigung von Daten aus anderen APIs, bevor sie verarbeitet oder an nachgelagerte Komponenten weitergegeben werden
  • Vermeidung von API-Konfigurationen, die blindlings Weiterleitungen folgen
  • Durchsetzung globaler Richtlinien zur Ratenbegrenzung und Begrenzung der für die Bearbeitung von Anfragen Dritter verfügbaren Ressourcen
  • Implementierung von Timeouts für Interaktionen

Bei der Bewertung von Dienstanbietern ist es wichtig, deren API-Sicherheitslage zu beurteilen und sicherzustellen, dass alle Interaktionen über einen sicheren Kommunikationskanal, wie TLS, erfolgen. Die Entwickler sollten auch strenge Zulässigkeitslisten dafür führen, wohin integrierte APIs den Datenverkehr umleiten dürfen.

Unternehmen können auch zusätzliche Schutzmaßnahmen ergreifen, indem sie gefährdete Daten verschlüsseln und eine Validierungszertifizierung verlangen, um Man-in-the-Middle-Angriffe zu verhindern. Die Quintessenz eines jeden Security-Konzepts ist die Anwendung eines mehrschichtigen Ansatzes zur Überwachung der Authentifizierung und Überprüfung, bevor auf Daten zugegriffen wird.

On-Demand-Webinar: Die Top 10 der OWASP-API-Sicherheit – Was sich ändert und welche Auswirkungen dies auf Sie hat
Paul Dughi

Paul Dughi ist Journalist für digitalen Content sowie ein Veteran der Medienbranche. Er war Vice President Technology für eine Gruppe von Fernsehsendern und auch Geschäftsführer von sechs eigenen Fernsehsendern in Kalifornien. Zurzeit arbeitet er als CEO bei StrongerContent.com.

Verwandte Beiträge:
Systemschock: Die Ransomware Storm-0501 verlagert sich in die Cloud
Systemschock: Die Ransomware Storm-0501 verlagert sich in die Cloud
 Schließen Sie versteckte Sicherheitslücken mit Barracuda Managed Vulnerability Security
Schließen Sie versteckte Sicherheitslücken mit Barracuda Managed Vulnerability Security
 Wir stellen die neue KI-gestützte Cybersecurity-Plattform BarracudaONE vor
Wir stellen die neue KI-gestützte Cybersecurity-Plattform BarracudaONE vor
Cl0p-Ransomware: der schmierige Eindringling, der zuschlägt, während Sie schlafen.
Cl0p-Ransomware: der schmierige Eindringling, der zuschlägt, während Sie schlafen.
Den Blog durchsuchen

Der Ransomware Insights Bericht 2025

Wichtige Erkenntnisse über die Erfahrungen und Auswirkungen von Ransomware auf Unternehmen weltweit

Zum Report

Abonnieren Sie den Barracuda-Blog.

Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Managed Vulnerability Security: Schnellere Behebung von Schwachstellen, weniger Risiken, einfachere Compliance 

Erfahren Sie, wie einfach es sein kann, die von Cyberkriminellen bevorzugte Schwachstellen zu finden.

WEBINAR ANSEHEN

Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Erhalten Sie die neuesten Nachrichten, Forschungsergebnisse und Analysen direkt in Ihren Posteingang.