APIs expostas, tokens vazados: como um gigante de semicondutores quase foi violado

As APIs impulsionam a empresa digital moderna, mas quando a documentação e os pontos de acesso ficam expostos, eles podem rapidamente se tornar passivos. Uma recente análise de segurança de uma empresa global de tecnologia de semicondutores revelou várias instâncias de documentação de API acessível ao público, oferecendo um roteiro potencial para invasores. Este blog detalha os riscos e explica como as organizações de manufatura de alta tecnologia podem proteger melhor seus ativos digitais.

O que foi encontrado

O BeVigil WebApp Scanner identificou que várias exposições em nível de infraestrutura foram identificadas, cada uma aumentando o risco de acesso e exploração não autorizados:

1. Documentação exposta = Plano para ataque: A documentação da API ajuda os desenvolvedores, mas, se tornada pública, também ajuda os atacantes. Com acesso aos detalhes e parâmetros do endpoint, os agentes mal-intencionados podem planejar com precisão como interagir e explorar seus sistemas de back-end.
2. Tokens de autenticação em risco: Os espaços de trabalho públicos do Postman que incluem credenciais ou tokens permitem que os invasores atuem como usuários legítimos, potencialmente dando a eles acesso não autorizado a sistemas e dados.
3. Vulnerabilidades conhecidas deixam os sistemas abertos: Quando componentes de software desatualizados com explorações conhecidas são deixados em vigor, os invasores não precisam ser criativos — eles apenas seguem o que já está documentado em bancos de dados públicos de vulnerabilidades.

Por que isso importa

• Documentação do Swagger exposta publicamente
  Os arquivos Swagger UI foram encontrados online sem restrições de acesso. Esses arquivos fornecem uma visão clara dos endpoints da API, dos formatos de solicitação esperados e dos mecanismos de autenticação, oferecendo aos atacantes uma visão detalhada de como os sistemas internos se comunicam.

‍

• Acesso aberto à API via Postman Workspace
  Ainda mais preocupante, as coleções de API estavam acessíveis em um espaço de trabalho público do Postman, algumas potencialmente com tokens de autenticação ainda anexados. Esse tipo de exposição pode permitir que os invasores se façam passar por usuários ou aumentem o acesso aos sistemas.

‍

• Componente SAP desatualizado com CVE conhecido
  Foi identificada uma vulnerabilidade conhecida (CVE-2022-22536) relacionada a Memory Pipes, que pode causar condições de negação de serviço quando explorada, ameaçando a estabilidade de sistemas comerciais críticos.

O que você pode fazer agora

Para se proteger contra esses tipos de exposição, aqui estão algumas ações práticas e não técnicas que sua equipe pode realizar hoje:

• Mantenha a documentação interna privada: Verifique se a documentação da sua API (como arquivos Swagger ou coleções do Postman) não está acessível ao público. Compartilhe apenas com pessoas que realmente precisam.
• Remova tokens confidenciais das ferramentas públicas: Audite seus espaços de trabalho do Postman ou do SwaggerHub e remova qualquer coisa que contenha tokens de autenticação, dados do usuário ou URLs internos do sistema.
• Use controles de acesso por padrão: Sempre suponha que qualquer documentação ou ferramenta possa se tornar pública acidentalmente. Estabeleça proteção por senha ou restrições de acesso, mesmo internamente.
• Atualize sistemas desatualizados imediatamente: Não adie os patches para problemas conhecidos, especialmente se forem vulnerabilidades documentadas publicamente. Os atacantes estão procurando sistemas não corrigidos.

Considerações finais

As APIs são os alicerces do software moderno, mas quando sua documentação é deixada exposta, elas se tornam pontos de entrada para os atacantes. Esse caso recente de uma empresa de tecnologia de semicondutores serve como um lembrete de que o que é conveniente para os desenvolvedores também pode ser conveniente para os cibercriminosos.

Ao verificar proativamente as exposições, reforçar os controles de acesso e manter os sistemas atualizados, as organizações podem reduzir drasticamente sua superfície de ataque. Com plataformas como a BeVigil da CloudSEK, as empresas ganham a visibilidade de que precisam para encontrar e corrigir esses problemas antes que eles levem a uma violação.