Categoria: Inteligência de vulnerabilidadeClasse de vulnerabilidade: Autorização imprópriaCWE É: CWE-285

Sumário executivo

AMEAÇAIMPACTOMITIGAÇÃO

• Os endpoints Swagger expostos permitem acesso não autorizado às operações comerciais e de marketing.
• Os agentes de ameaças aproveitam endpoints mal configurados para atingir clientes fingindo ser a empresa.

• Os agentes de ameaças usam APIs expostas para acessar e manipular os dados da empresa vítima.
• Acesso não autorizado a pagamentos, reembolsos e assinaturas.
• As chaves de API permitem que os agentes de ameaças se façam passar pela empresa.

• Monitoramento contínuo de APIs.
• Os dados gerenciados por APIs, especialmente PII, devem ser criptografados.
• Ative as verificações de autorização para evitar o uso indevido dos endpoints da API.

CloudSEKda plataforma contextual de risco digital de IA XV Vigília identificou um aumento nos casos de organizações expondo as interfaces de usuário do Swagger. Muitas dessas instâncias apresentam altos riscos de exploração.

Análise técnica

• A especificação Swagger (também conhecida como OpenAPI) é um formato de descrição de API para APIs REST. Um arquivo Swagger descreve a API, incluindo:
  • Endpoints disponíveis
  • Operações em cada endpoint
  • Entrada de parâmetros de operação
  • Saída para cada operação
• Portanto, o acesso não autorizado à interface de usuário do Swagger de uma empresa pode permitir que os agentes de ameaças se façam passar pela empresa, manipulem seus dados e atinjam seus clientes.

Exemplo de interfaces de usuário expostas do Swagger com alto risco de exploração

[caption id="attachment_19833" align="aligncenter” width="1117"] SwaggerUI exposta [/caption] Acima está a interface de usuário Swagger exposta de uma empresa, que tem 2 endpoints exploráveis:

1. /API/MobileOptin

Esse endpoint permite que os agentes de ameaças enviem mensagens do WhatsApp para um número de celular, por meio da conta comercial verificada do Whatsapp da empresa. [caption id="attachment_19834" align="aligncenter” width="619"] Endpoint MobileOptin [/caption] Ao clicar na opção “Experimente”, o corpo da resposta é exibido a seguir. [caption id="attachment_19835" align="aligncenter” width="1023"] Endpoint MobileOptin [/caption]

1. /API/OptOutGupshup

Esse endpoint permite que os agentes de ameaças enviem mensagens do WhatsApp para um número de celular, por meio da conta comercial verificada do Whatsapp da empresa, usando o Gupshup. O Gupshup é uma plataforma de criação e mensagens de chatbots que facilita o suporte ao cliente e o marketing do WhatsApp. [caption id="attachment_19836" align="aligncenter” width="1220"] Ponto final OptOutGupShup [/caption]  

Informações de código aberto

• O Swagger é usado por mais de 6 milhões de usuários em 22.000 empresas em 194 países.
• O SwaggerUI tem mais de 6.000 menções no Shodan. Isso indica que há um alto risco para organizações com endpoints SwaggerUI abertos expostos.

[caption id="attachment_19837" align="aligncenter” width="1543"] Relatório Shodan [/caption]

Informações de fóruns de crimes cibernéticos

Publicações em fóruns de crimes cibernéticos mostram que os agentes de ameaças estão aproveitando os endpoints de interface de usuário do Swagger expostos para encontrar vulnerabilidades críticas, como o Cross-site scripting (XSS), e explorá-los ainda mais para atingir serviços amplamente usados, como Paypal, Microsoft, Github, Yahoo etc. [caption id="attachment_19838" align="aligncenter” width="1829"] Postagem no SwaggerUI postada em um fórum clandestino [/caption] [caption id="attachment_19839" align="aligncenter” width="1624"] Lista de XSS nas instâncias de interface do usuário do Swagger [/caption] A postagem abaixo mostra um agente de ameaças compartilhando um kit de exploração para a interface do usuário do Swagger. [caption id="attachment_19840" align="aligncenter” width="863"] Publique o kit de exploração de compartilhamento em um fórum clandestino [/caption]

Impacto e mitigação

ImpactoMitigação

• As APIs expostas fornecem acesso não autorizado a operações comerciais e de marketing que podem ser usadas indevidamente para atingir os clientes de uma empresa.
• Um agente de ameaças pode acessar e manipular os dados da vítima usando essas operações.
• Um invasor com acesso direto aos dados dos clientes compromete a privacidade, a confidencialidade e a integridade dos dados.
• Com acesso à chave de API, eles podem realizar operações como enviar mídia e SMS em nome do nome da empresa legítima.

• Monitore continuamente as APIs em sua superfície de ataque.
• Os dados gerenciados por uma API, especialmente informações de identificação pessoal (PII) ou outros dados confidenciais protegidos por normas e regulamentos de conformidade, devem ser criptografados.
• Habilite mecanismos de autorização rígidos para terminais críticos, para evitar seu uso indevido.

Referências

• ^#https://en.wikipedia.org/wiki/Traffic_Light_Protocol
• API Swagger: descoberta de dados de API e falhas de segurança
• Segurança de API: o guia completo sobre ameaças, métodos e ferramentas
• https://cwe.mitre.org/data/definitions/285.html