2023年互联网现状与安全性(SOTI) 报告

第9卷，第2期 [互联网现状] 应用程序和API攻击呈上升趋势 目录 2漏洞频现的一年 4Web应用程序和API流量分析 14数字化时代的应用程序和API攻击风险：对不同行业的攻击有何不同 20留意（安全）缺口： API攻击研究引发对风险的关注 28结语和更多建议：填堵边缘缺口 29方法 30致谢名单 钻过安全漏洞：第9卷，第2期SOTI1 钻过安全漏洞：第9卷，第2期SOTI1 漏洞频现的一年 Log4Shell和Spring4Shell等重大漏洞的出现印证了Web应用程序和API所带来的严重风险，也体现出这些威胁面的重要影响。为了加强整体运营，企业依然在积极采用更多Web应用程序。平均而言，每家企业使用的应用程序数量已经达到了1061个，充分体现出这一攻击面在不断扩大。现有安全漏洞依然让攻击者有机可乘，层出不穷的新兴零日漏洞更是雪上加霜，促使企业比以往更需要加强应用程序安全性，以保护机密数据和安全边界。 2022年，应用程序和API攻击数量创下新高。2021年末，Log4Shell爆出后不久，企业就发现自己四面楚歌，还有其他多个重大漏洞威胁着他们的安全，其中包括：AtlassianConfluence漏洞(CVE-2022-26134)、ProxyNotShell漏洞(CVE-2022–41040)和Spring4Shell/SpringShell(CVE-2022-22965)等。API漏洞利用攻击的数量不断增加，即将发布的新版开放式Web应用程序安全项目(OWASP)API十大安全漏洞已将API漏洞纳入其中，这表示API安全风险已经引起了业界的极大关注。随着攻击频率的激增，攻击的复杂性也在提高，攻击者在不断“进化”，努力寻找更多新方法来利用这一不断扩大的攻击面。例如，攻击者团体使用Webshell（例如ChinaChopper）发动高度有针对性的攻击，比如Hafnium团体就曾对美国的国防和教育机构发起过此类攻击。 此外，服务器端模板注入(SSTI)和服务器端代码注入有可能导致远程代码执行(RCE)和数据渗漏，给业务带来严重威胁。近期的一个例子是在VMwareWorkspaceONEAccessandIdentityManager中发现的RCE漏洞(CVE-2022-22954)。在API威胁环境中，受损的对象级别授权是企业的主要顾虑，其原因是多方面的，包括这类漏洞的检测难度大、影响大 （攻击可能造成攻击者获得敏感数据的访问权限）。考虑到多种非传统攻击媒介的使用量增加，企业有必要升级应用程序和API领域的防御机制。 在本期《互联网现状/安全性》(SOTI)报告中，我们将继续研究我们在Web应用程序和API领域发现的各类攻击，探索它们对于企业的影响，以及各种漏洞在API环境中的定位。我们的目标是阐明Web应用程序和API攻击造成的危险，并提供一些针对性建议，帮助您保护网络，成功抵御此类攻击。 钻过安全漏洞：第9卷，第2期SOTI2 主要研究见解 •服务器端请求伪造(SSRF)攻击是一种新近出现的攻击媒介，给企业带来了重大威 胁。2022年，Akamai观察到，针对我们客户Web应用程序和API的SSRF攻击尝试达到平均每天1,400万次，这些攻击可能会导致攻击者入侵企业内部资源。 •开源软件中的漏洞（如Log4Shell）以及允许远程代码执行(RCE)的SSTI技术日渐盛行。我们预计在未来几年中，这些攻击还会不断增长，建议企业采取相应的防护措施。 •2022年，随着物联网(IoT)通信的蓬勃发展，以及从制造业设备中收集到的数据愈发惊人，这使得针对制造业发起的攻击数量中位数增加了76%。针对此行业内运营技术(OT)实施的网络攻击频频得手，带来了供应链问题等现实影响。 •在医疗领域，医疗物联网(IoMT)的采用扩大了该垂直行业的攻击面，给攻击者创造了通过漏洞发起攻击的机会。2022年，这个行业的攻击数量中位数增加了82%。 •API研究得出的见解包括： 拟议的新版OWASPAPI十大安全漏洞强调了Web应用程序与API之间的攻击媒介差异。 以API业务逻辑为导向的API攻击非常复杂，很难在个别请求层面上检测和抵御。需要提前建立相关认知，例如具体业务逻辑，以及每位用户可访问的资源。 钻过安全漏洞：第9卷，第2期SOTI3 钻过安全漏洞：第9卷，第2期SOTI3 Web应用程序和API流量分析 Web应用程序凭借易访问性、效率和可扩展性成为企业的一股中坚力量，帮助企业获得了更多收入。从网络犯罪分子的角度来看，他们总是“跟着钱走”，寻找一切机会去实现自己的最终目标。Akamai始终在监控和观察这些攻击的大规模增长和频率（图1），在之前发布的威胁报告中，我们已经分享了相关信息。 每日Web应用程序攻击数量 2021年 2021年1月至12月与2022年1月至12月的对比 1.5亿 2022年 钻过安全漏洞：第9卷，第2期SOTI4 钻过安全漏洞：第9卷，第2期 SOTI 4 攻击数量 1亿 5000万 1月 2月 3月 4月 5月 6月 7月 8月 9月 10月 11月 12月 1月 0 图1：Web应用程序攻击数量呈现年同比上升趋势，中间有数个高峰，可能表明零散的攻击活动 攻击者不断优化攻击方法，相应地，Web应用程序和API防御也必须不断加强检测能力，从而缓解攻击者不断“进化”的攻击手段带来的风险。2022年，Akamai发布了全新的AkamaiApp&APIProtector产品，加强了攻击检测能力。攻击数量的激增也让我们确定了更多攻击流量，其增幅约为250%。但这并不是Akamai第一次看到Web应用程序和API攻击的这种急剧增加。早在Log4Shell和Spring4Shell等重大漏洞兴起，并给全球各行各业（如科技公司等）造成大规模数据泄漏之前，Web应用程序和API攻击就已经在急剧扩增。此外，这些漏洞加剧了企业面临的风险，进一步强调了确保应用程序安全的重要性。 图1还展示了每日攻击流量的高峰和低谷。不过我们偶尔也会看到一些明显的高峰（图2），这可能表明针对一家大型企业或多家Akamai客户发起的大规模攻击活动。2022年4月，我们在一天的时间内看到了1.35亿次攻击；同年7月，我们在一天内观察到1.36亿次攻击。在我们遭遇的攻击中，还有1.61亿次攻击于2022年10月8日开始，于2022年10月9日达到高峰。这些攻击有可能是大爆炸式攻击活动，其中针对企业的攻击活动量可达到正常情况的30倍以上。 每日Web应用程序攻击数量 2022年1月1日——2022年12月31日 每日攻击数量 7天平均值 2022年10月9日 160,785,750 2022年4月2日 134,971,263 2022年7月28日 135,762,382 1.5亿 攻击数量 1亿 5000万 2022年1月 2022年2月 2022年3月 2022年4月 20225月 2022年6月 7月 2022年8月 2022年9月 2022年10月 2022年11月 2022年12月 20231月 年 2022年 年 0 图2：2022年，我们观察到三次明显的高峰（4月2日、7月28日和10月9日），这可能是针对一家或几家公司的大爆炸式攻击活动 钻过安全漏洞：第9卷，第2期SOTI5 有两个重要因素促成了这种增长。首先，越来越多的企业依靠应用程序和API来改进客户体验、助推业务发展，这使得应用程序开发生命周期需要缩短在生产环境中创建和部署此类应用程序的周期，因而可能导致代码不够安全。在EnterpriseStrategyGroup(ESG)调查中，有48%的受访企业表示，由于时间限制，他们将存在漏洞的应用程序发布到了生产环境，将网络置于风险之中。其次，漏洞数量在增加，每10个漏洞中就有1个是在面向互联网的应用程序中发现的“高风险”或“重大”类别的漏洞。此外，2018年至2020年期 间，Log4Shell等开源漏洞的数量增加了一倍。我们的金融服务业相关报告《兵临城下：针对金融服务领域的攻击分析》强调，在新漏洞披露后的24小时内，我们开始看到有关这些漏洞的利用尝试。由于这两大因素，API和应用程序被攻击者利用的时机已经成熟。 对于Web应用程序和API攻击量增长，推动作用最明显的攻击媒介是LFI，攻击者主要将其用于侦察或扫描存在漏洞的目标。在某些情况下，实施LFI漏洞利用攻击可能暴露关于任何应用程序的信息，造成目录遍历攻击，攻击者可借此获得日志文件数据，从而侵入网络中更深入的部分。（在下一部分中，我们将更深入地分析这一媒介及其他普遍存在的攻击媒介。） 在有新攻击媒介初露端倪时，只要有可能影响到企业，您就应该仔细加以考察。通过了解这些新攻击媒介，您就可以为未来的攻击面做好充分准备。 考虑到这些攻击的速度和规模，企业不但要完成内部分段和补丁安装，还有必要具备在边缘拦截这些攻击的能力。由于应用程序为数众多，您还需要良好的资源清册。了解攻击面及其具有哪些对应的安全控制措施至关重要。如今有许多公司都在整理“软件材料清单”，目的就是准确分析任何零日漏洞的潜在影响。接下来，您还需要Web应用程序和API防护(WAAP)这样的工具，理想的工具应该能随着新攻击变体的出现实时更新对新威胁的应对措施。最后，您需要制定相应流程来验证确实有效的防御措施，包括渗透测试和日志分析在内。 钻过安全漏洞：第9卷，第2期SOTI6 2023年需要留意的攻击媒介 通过研究，我们探索了攻击者在攻击的位置、生成这些攻击的方式，以及他们选择执行的具体攻击。在有新攻击媒介初露端倪时，只要有可能影响到企业，您就应该仔细加以考察。了解新攻击媒介可以帮您做好准备，应对未来可能出现的攻击面，这也是企业保护自身网络的方法。 主要Web攻击媒介 2021年1月至12月与2022年1月至12月的对比 2021年与2022年的攻击数量总数对比 200亿 2021年 2022年 150亿 100亿 50亿 LFI XSS SQLi PHPi CMDi OGNLi 恶意 文件上传 RFI 0 图3：在攻击者寻找入侵预定目标的方法时，LFI依然是首选攻击媒介 如图3所示，LFI攻击目前在大幅增加，年同比增幅达到193%。也就是说，相较于2021年，攻击数量激增2倍之多，先前排名靠前的跨站点脚本攻击(XSS)和SQL注入(SQLi)这两种攻击媒介均已落于LFI攻击之后。LFI攻击可能会给企业造成不利影响——攻击者利用LFI在目标网络中获得立足点，或是通过RCE向Web服务器注入恶意代码，从而破坏其安全机制。在最糟糕的情况下，LFI攻击可能将敏感信息暴露给攻击者。注意：LFI攻击数量的增加意味着攻击者已经成功利用它发起过攻击，所以您应该优先开展测试，判断自己的系统中是否存在漏洞。 在攻击者利用文件访问权限验证或处理的漏洞发起攻击时，就会发生LFI攻击。我们发现，基于PHP的网站普遍存在LFI漏洞，80%的网站在服务器端使用这种编程语言。我们连年看到大量攻击，这并不令人意外。相关数据泄露报告称，3亿用户帐户外泄的事件可追溯到LFI攻击上。 钻过安全漏洞：第9卷，第2期SOTI7 钻过安全漏洞：第9卷，第2期SOTI8 钻过安全漏洞：第9卷，第2期 SOTI 8 无独有偶，XSS让攻击者可以在攻击目标的网络中获得立足点，而非获得数据库访问权限。就在几年前，SQLi还是Web应用程序和API攻击中的主导性攻击媒介，在2021年的OWASP名单中，它是三大Web应用程序攻击之一。SQLi攻击一旦得手，攻击者往往能获得公司的机密信息访问权限，比如客户数据。 企业需要警惕这些流行的攻击媒介可能造成的后果，以及攻击者对于这些媒介的利用方式。仔细审视新攻击媒介及其对企业的潜在影响至关重要。Akamai坚信企业应当使用诸如ZeroTrust分段之类的框架，以尽可能降低可成功获得访问权限的LFI攻击的影响，并将网络