Escape 团队发布的《2024 年 API 暴露状况》报告揭示了全球一些大型企业中暴露和易受攻击的 API 的惊人数量。这份全面的分析报告揭示了困扰《财富》1000 强企业的关键安全漏洞,其影响涉及从金融到医疗保健等多个行业。
该报告分析了《财富》1000 强企业和 CAC 40 强企业的域,发现了 30,784 个暴露的 API,并确定了 100,000 多个漏洞。其中,1,834 个被认为是高度关键的漏洞,许多都与身份验证失效和配置错误有关。Escape 首席执行官 Tristan Kalos 指出:“API 安全扩展是一项基本挑战。随着企业部署更多的 API 来满足数字化需求,他们的安全流程却落后了。”
暴露的 API(包括 3945 个开发 API)往往缺乏足够的保护。这些 API 是脆弱的切入点,暴露了敏感配置,为攻击者制造了一场完美风暴。报告发现,有六家企业暴露了 100 多个开发 API,其中五家属于财富 1000 强企业。
令人震惊的是,有 1,816 个敏感机密(如 API 密钥、身份验证令牌和数据库凭证)被发现和暴露。这些数据是攻击者的金矿,可直接访问关键系统,并可能导致未经授权的利用。
这些漏洞涉及多个行业,其中受影响最大的是金融服务、保险和医疗保健行业。主要风险包括
- 身份验证失效: API2:2023 漏洞有 381 个实例,攻击者可利用身份验证漏洞获得未经授权的访问。
- 安全配置错误: API8:2023问题十分猖獗,记录在案的有746个实例,往往使关键端点暴露在外。
这些发现还与 CVE-2024-5535 和 CVE-2021-3711 等高风险 CVE 相吻合,凸显了解决 API 环境中已知漏洞的长期挑战。
报告中强调的现实世界中的漏洞更说明了采取紧急行动的必要性。例如:
- Trello:2024 年 1 月,一个配置错误的 API 暴露了超过 1500 万条用户记录。
- 戴尔: 2024 年 5 月,由于 API 端点不安全,4900 万条客户记录遭到泄露。
- Twilio 的 Authy 服务: 一个漏洞允许攻击者访问身份验证数据,使数百万人面临风险
报告强调了采取积极措施的必要性:
- 审计所有 API: 重点关注影子 API 和传统 API,确保端点得到记录和监控。
- 加强开发 API 的安全性: 以生产级标准对待它们,以降低暴露风险。
- 实施 API 发现工具: 持续扫描和监控对于实时发现漏洞至关重要。
《2024 年应用程序接口暴露状况》明确指出了一点:随着应用程序接口的增加,风险也在增加。企业必须从被动反应转向主动出击,整合自动发现和安全措施,保护其不断扩大的 API 生态系统。