Fortaleça suas APIs: como a BeVigil protegeu um gigante da logística contra vulnerabilidades críticas

Por que a segurança da API é essencial

No mundo da conectividade digital, as APIs são a salvação das empresas modernas, permitindo integrações perfeitas e prestação eficiente de serviços. No entanto, configurações incorretas podem expor vulnerabilidades críticas, deixando as empresas suscetíveis a violações de dados e interrupções operacionais. Em CloudSEK, capacitamos as organizações a proteger proativamente suas infraestruturas de API com nossa plataforma principal, BeVigil Enterprise. Este blog demonstra como a BeVigil ajudou uma importante empresa de logística a identificar e resolver uma lacuna significativa na segurança da API.

O que acontece quando os gateways de API ficam desprotegidos?

Durante uma varredura de rotina de uma grande empresa de logística, a BeVigil detectou uma configuração incorreta Painel de administração do Kong API Gateway.

O que é Kong API Gateway?
Kong é um gateway de API de código aberto e uma camada de gerenciamento de microsserviços. Ele foi projetado para ajudar as organizações a gerenciar, proteger e otimizar o tráfego entre seus aplicativos e serviços. Kong serve como uma camada intermediária entre os clientes e os serviços de back-end, fornecendo uma variedade de recursos para facilitar o gerenciamento de APIs e melhorar o desempenho geral do sistema.

Identificamos alguns problemas no Kong API Gateway, incluindo:

• Acesso não autorizado ao painel de administração: A falta de controle de acesso adequado pode permitir que pessoas não autorizadas visualizem, modifiquem ou excluam configurações e configurações críticas da API, comprometendo a funcionalidade e a segurança do gateway da API.
• Exposição de dados confidenciais: A autenticação insuficiente pode resultar na exposição de informações confidenciais, como chaves, tokens e credenciais da API, aumentando o risco de violações de dados e acesso não autorizado às APIs.
• Problemas de configuração: O acesso aberto ao painel de administração pode levar a configurações incorretas acidentais ou intencionais, potencialmente causando interrupções no serviço, vazamentos de dados ou novas fraquezas de segurança na infraestrutura da API.
• Potencial para exploração de API: Usuários mal-intencionados podem explorar o painel de administração para introduzir plug-ins nocivos, criar APIs não autorizadas ou interferir nos serviços existentes, causando interrupções ou expondo o sistema a ataques.
• Comprometimento dos mecanismos de segurança: Interfaces administrativas desprotegidas podem permitir que os invasores desativem recursos essenciais de segurança, como limitação de taxa, autenticação ou autorização, deixando as APIs expostas à exploração.

A vulnerabilidade representava riscos à segurança dos dados, à continuidade operacional e à reputação da organização.

‍

‍

Desmascarando falhas de segurança: uma análise detalhada

1. Configurações incorretas de API detectadas pelo API Scanner da BeVigil

O BeVigil API Scanner do CloudSEK descobriu uma API mal configurada vinculada ao serviço Kong API Gateway Admin. Os dados de configuração expostos incluíam detalhes confidenciais, como localizações de arquivos de log, IDs de processo e informações do banco de dados, destacando riscos de segurança significativos.

‍

‍

‍

2. Acesso não autorizado ao painel de administração via porta aberta

O Network Scanner da BeVigil verifica as portas todos os dias para detectar vulnerabilidades para nossos clientes. Nesse caso, ele detectou um problema crítico com a porta 8002, que hospedava o Kong Admin Panel. O painel era acessível sem autenticação ou autorização, deixando o gateway exposto ao acesso não autorizado.

‍

‍

3. Endpoints de API confidenciais deixados vulneráveis

A BeVigil identificou um sério risco com o Painel de Administração expondo vários endpoints de API vinculados aos principais serviços. Esses endpoints ampliaram a superfície de ataque, permitindo que agentes mal-intencionados os explorem ou até mesmo desativem rotas, interrompendo o acesso legítimo a serviços essenciais.

‍

‍

4. Token de acesso do Super Admin comprometido

Uma das vulnerabilidades mais críticas foi a exposição de um token de acesso de superadministrador. Esse token concedeu controle total sobre o Kong Manager e a Kong Admin API. Os invasores poderiam criar contas de administrador arbitrárias com privilégios de superadministrador, levando à aquisição completa do Kong Manager.

‍

‍

‍

Como prova de conceito, um pesquisador de segurança usou com sucesso o token exposto para criar um novo usuário chamado “shashank2", confirmando a viabilidade da exploração.

‍

‍

O resultado: segurança de API aprimorada e continuidade operacional

• Detecção integrada de ameaças: O BeVigil conecta perfeitamente os insights das varreduras de rede às verificações de API, oferecendo uma visão holística das vulnerabilidades em sua infraestrutura.
• Inteligência acionável: Além da detecção, o BeVigil fornece recomendações claras e práticas para corrigir configurações incorretas, proteger endpoints e impedir o acesso não autorizado.
• Mitigação abrangente de riscos: A BeVigil identifica rapidamente exposições de alto risco, como credenciais comprometidas, e oferece soluções eficazes para minimizar os danos e evitar violações.

Pronto para proteger suas APIs? Confie em BeVigil

O BeVigil Enterprise não é apenas um scanner de vulnerabilidades, é um plataforma abrangente de segurança de superfície de ataque feito sob medida para enfrentar os desafios modernos da API. Suas principais características incluem:

• Gerenciamento proativo de riscos: Detecção precoce de vulnerabilidades para evitar violações.
• Soluções personalizáveis: Medidas de segurança projetadas para atender às necessidades comerciais exclusivas.
• Escalabilidade: Proteção robusta para ecossistemas de API em crescimento sem comprometer o desempenho.

Com o BeVigil Enterprise, as organizações podem detectar, corrigir e evitar vulnerabilidades, garantindo a integridade de suas operações digitais. Se sua empresa depende de APIs, protegê-las não é opcional, é essencial. Na CloudSEK, temos o compromisso de tornar o mundo digital mais seguro para todos.