바퀴달린 API: 위험한 취약점의 도로 여행

게시됨 Nov 30, 2021
작성자: 피터 댄히외
사례 연구

바퀴달린 API: 위험한 취약점의 도로 여행

게시됨 Nov 30, 2021
작성자: 피터 댄히외
리소스 보기
리소스 보기

마지막으로 도로 여행을 한 때는 언제였습니까? 당신이 세상에 어디에 있는지에 따라, 그것은 단지 의제에 최근 반환 될 수 있습니다,하지만 정말, 아무것도 열린 도로보다 더 나은 풍경의 변화를 받고. 

물론 소프트웨어 취약점이 아니라면.

우리는 테슬라와 지프가 이미 보안 연구원들과 협력하여 조기에 발견되지 않으면 심각한 안전 문제로 이어질 수있는 악용 가능한 버그를 찾는 등 자동차 업계의 느슨한 사이버 보안 조치로 인한 위험에 대해 긴 이야기를 했습니다. 우리는 또한 어떻게, 일반적으로, 소프트웨어 보안은 와일드 웨스트에 여전히 방법에 대해 이야기했습니다. 소프트웨어는 우리가 돌아서고, 많은 연결된 장치, 차량 및 주변 기기의 경우 최종 사용자 교육과 경계를 넘어 필요한 보안 조치가 잘 어울립니다.

API 취약점은 특히 교활해지고 있으며, 지난 6개월 동안만 악의적인 API 트래픽이 300% 이상 증가했습니다. 현대 차량이 본질적으로 바퀴에 API라는 점을 감안할 때 이것은 오히려 우려됩니다. 그들은 연결, 다른 응용 프로그램과 매우 수다, 그리고 많은 취약 한 끝점 중 하나로서 대상 공격에 잡힐 수 있습니다. 

EV 충전기가 너무 많이 말하는 경우

커넥티드 차량은 소프트웨어 안전에 대한 조사를 받고 있지만 액세서리는 어떻습니까? 펜 테스트 파트너스의 천재 승무원은 6 개의 가정용 전기 자동차 충전 브랜드뿐만 아니라 광범위한 공공 EV 충전 네트워크에서 여러 코드 수준의 취약점을 발견했습니다.

누가 충전기에 관심이 있습니까? 공격자가 무엇을 얻을 수 있습니까? 불행하게도, 우리를 위해 초과 근무를 일하는 강력하고 깊은 기술의 단점 중 하나는 일반적으로 이러한 장치가 TMI의 나쁜 경우가 있다는 것입니다. EV 충전기는 API를 통해, 클라우드 기반 환경에서 동반 모바일 앱과 통신하며, 이 모든 것이 안전하게 코딩되고 구성되지 않으면 악용에 취약할 수 있습니다. API는 의도적으로 앱 간의 통신을 위한 수문을 열고 이러한 끝점이 신중하게 구성되지 않으면 취약한 앱 백도어를 통해 너무 많이 공유하거나 더 나빠질 수 있습니다.

Pen Test Partners는 수백만 대의 EV 충전기가 납치될 수 있는 매우 위험한 취약점, 계정 인수 및 원격 제어/계정에 대한 액세스를 허용한 API 권한 부여 문제 의 여러 사례, 여러 EV 장치의 동기화된 제어를 통해 전력망을 방해할 가능성도 발견했습니다. 이러한 문제는 모두 패치되었지만 공격자 간에 몇 줄의 코드가 있고 핵심 기능과 서비스 인프라가 완전히 중단되었다는 사실은 매우 중요합니다. 

그것은 마스터 물건처럼 아니에요, 어느. 예를 들어 Wallbox는 API에 두 개의 안전하지 않은 직접 개체 참조(IDOR)가 있었는데, 이 참조가 악용될 경우 계정 인수를 허용했습니다. IDOR는 OWASP 상위 10개 API 취약점에서2위에 속하는 깨진 인증에 속합니다. 그것은 품질 코드의 학습 및 구현에 실패를 가리키는 먼지만큼 일반적입니다. 우리는 버그 통신 경로의 무수한을 통해 민감한 장치와 응용 프로그램을 연결으로 지속 할 수 없습니다, 제대로 구성된 API는 단지입니다. 

자동차 API로 안전하게 작업하면 교육과 인내심이 필요합니다.

API 보안의 실망스러운 점은 사이버 보안 재해의 새로운 물결로 선전되어 실제로 웹 개발에서 수십 년 동안 보았던 것과 동일한 오래된 문제에 대한 새로운 설정일 뿐이라는 것입니다. 크로스 사이트 스크립팅, 주입, 잘못된 구성 : 익숙한 소리?

NIST와 같은 조직의 최근 지표는 유망하며 소프트웨어 보안이 더욱 규제되고 표준화되고 있음을 보여줍니다. 그러나, 우리는 여전히 매일 작성되는 코드의 홍수에 발생 해야 하는 보호의 양에 흠집을 넣어 필요한 전문가 부족. 개발자는 보안 지식과 책임에 대해 높아져야 하며 주도권을 잡기 위해 개발자가 아닙니다. 가전 제품에 임베디드 시스템을 작업하는 팀이 나 자동차를 다른 사람의 원격 제어 장난감으로 바꿀 수 있는 API가 있다면 일반적인 취약점 을 도입하는 것을 중단하는 데 필요한 것을 갖추고 있는지 확인해야 합니다. 

예를 들어 XSS로 인해 보안 API와 취약한 API 간의 차이는 미미하지만 개발자는 잘못된 코딩 패턴을 좋은 것과 구별하는 뉘앙스를 보여줘야 합니다. 그 외에도, 게으른 개발 프로세스는 종종 API 구성에서 평소와 같이 비즈니스, 많은 주어진 광대 한 권한과 함께 설정 된 작업을 수행하기 위해 최소 요구 사항 이상, 따라서 너무 많은 추가 위협 표면 및 잠재적인 데이터 도난을 열어. 이러한 요소는 빌드 중에 고려해야 하지만 허용 가능한 개발 관행에 배어지지 않으면 프로세스는 계속해서 위험 요소가 될 것입니다.

새로운 위협 배우 놀이터 를 피하기

위협 배우의 대상으로 API의 극적인 증가는 주의가 인식 낮은 매달려 과일로 이동하는 것을 보여줍니다 ... 그리고이 경우, 잠재적 인 차량 인수의 형태로 생명에 잠재적 인 위협뿐만 아니라, 상당한 급여에 파이프 라인이 될 수있는 하나입니다. 

API 보안을 우연히 만드십시오. 소프트웨어의 통신 생태계의 일부로 중요한 고려 사항이되어야하며 동급 최강의 보안 프로그램 목록에서 높은 수준이어야 합니다. 이 것의 핵심은 각 API를 인간처럼 취급하고 어떤 액세스 권한이 있어야 하는지 평가하는 것입니다. 회계에서 짐은 전체 회사에 대한 모든 민감한 법률 문서에 액세스 할 수 있어야합니까? 아마도, 일반적으로 액세스 제어는 실제 직원의 경우 올바르게 결정됩니다. API에 대해도 마찬가지이며, 다른 모든 것들의 동일한 제로 트러스트 방법으로 구성되지 않은 경우 모든 사람이 귀하의 비밀을 알 릴 수있는 강력한 채팅 상자임을 기억하는 것이 중요합니다.

조직은 높은 경고에 있어야 하며 개발자는 이러한 취약한 포털에서 절망에 이르는 양질의 코드를 만드는 데 필요한 눈입니다. 이 목표에 대한 올바른 사고 방식과 창조의 중요한 단계에서 올바른 결정을 내릴 수 있는 실습 기술을 통해 보안 인식 엔지니어로서 성장하고 번창할 수 있는 기회를 제공해야 할 때입니다.

리소스 보기
리소스 보기

저자

피터 다뉴

피터 댄히외는 보안 컨설턴트로 12년 이상 경력을 쌓았으며, 조직, 시스템 및 개인의 보안 취약점을 타겟팅하고 평가하는 방법에 대한 공격 기법을 가르치는 SANS의 수석 강사로 8년 이상 활동한 세계적으로 인정받는 보안 전문가입니다. 2016년에는 호주에서 가장 멋진 기술자 중 한 명으로 선정(비즈니스 인사이더)되었고, 올해의 사이버 보안 전문가(AISA - 호주 정보 보안 협회)로 선정되었으며, GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA 자격증을 보유하고 있습니다.

더 알고 싶으신가요?

블로그에서 최신 보안 코딩 인사이트에 대해 자세히 알아보세요.

Atlassian의 광범위한 리소스 라이브러리는 안전한 코딩 숙련도를 확보하기 위한 인적 접근 방식을 강화하는 것을 목표로 합니다.

블로그 보기
더 알고 싶으신가요?

개발자 중심 보안에 대한 최신 연구 보기

광범위한 리소스 라이브러리에는 개발자 중심의 보안 코딩을 시작하는 데 도움이 되는 백서부터 웨비나까지 유용한 리소스가 가득합니다. 지금 살펴보세요.

리소스 허브

바퀴달린 API: 위험한 취약점의 도로 여행

게시됨 Nov 30, 2021
By 피터 댄히외

마지막으로 도로 여행을 한 때는 언제였습니까? 당신이 세상에 어디에 있는지에 따라, 그것은 단지 의제에 최근 반환 될 수 있습니다,하지만 정말, 아무것도 열린 도로보다 더 나은 풍경의 변화를 받고. 

물론 소프트웨어 취약점이 아니라면.

우리는 테슬라와 지프가 이미 보안 연구원들과 협력하여 조기에 발견되지 않으면 심각한 안전 문제로 이어질 수있는 악용 가능한 버그를 찾는 등 자동차 업계의 느슨한 사이버 보안 조치로 인한 위험에 대해 긴 이야기를 했습니다. 우리는 또한 어떻게, 일반적으로, 소프트웨어 보안은 와일드 웨스트에 여전히 방법에 대해 이야기했습니다. 소프트웨어는 우리가 돌아서고, 많은 연결된 장치, 차량 및 주변 기기의 경우 최종 사용자 교육과 경계를 넘어 필요한 보안 조치가 잘 어울립니다.

API 취약점은 특히 교활해지고 있으며, 지난 6개월 동안만 악의적인 API 트래픽이 300% 이상 증가했습니다. 현대 차량이 본질적으로 바퀴에 API라는 점을 감안할 때 이것은 오히려 우려됩니다. 그들은 연결, 다른 응용 프로그램과 매우 수다, 그리고 많은 취약 한 끝점 중 하나로서 대상 공격에 잡힐 수 있습니다. 

EV 충전기가 너무 많이 말하는 경우

커넥티드 차량은 소프트웨어 안전에 대한 조사를 받고 있지만 액세서리는 어떻습니까? 펜 테스트 파트너스의 천재 승무원은 6 개의 가정용 전기 자동차 충전 브랜드뿐만 아니라 광범위한 공공 EV 충전 네트워크에서 여러 코드 수준의 취약점을 발견했습니다.

누가 충전기에 관심이 있습니까? 공격자가 무엇을 얻을 수 있습니까? 불행하게도, 우리를 위해 초과 근무를 일하는 강력하고 깊은 기술의 단점 중 하나는 일반적으로 이러한 장치가 TMI의 나쁜 경우가 있다는 것입니다. EV 충전기는 API를 통해, 클라우드 기반 환경에서 동반 모바일 앱과 통신하며, 이 모든 것이 안전하게 코딩되고 구성되지 않으면 악용에 취약할 수 있습니다. API는 의도적으로 앱 간의 통신을 위한 수문을 열고 이러한 끝점이 신중하게 구성되지 않으면 취약한 앱 백도어를 통해 너무 많이 공유하거나 더 나빠질 수 있습니다.

Pen Test Partners는 수백만 대의 EV 충전기가 납치될 수 있는 매우 위험한 취약점, 계정 인수 및 원격 제어/계정에 대한 액세스를 허용한 API 권한 부여 문제 의 여러 사례, 여러 EV 장치의 동기화된 제어를 통해 전력망을 방해할 가능성도 발견했습니다. 이러한 문제는 모두 패치되었지만 공격자 간에 몇 줄의 코드가 있고 핵심 기능과 서비스 인프라가 완전히 중단되었다는 사실은 매우 중요합니다. 

그것은 마스터 물건처럼 아니에요, 어느. 예를 들어 Wallbox는 API에 두 개의 안전하지 않은 직접 개체 참조(IDOR)가 있었는데, 이 참조가 악용될 경우 계정 인수를 허용했습니다. IDOR는 OWASP 상위 10개 API 취약점에서2위에 속하는 깨진 인증에 속합니다. 그것은 품질 코드의 학습 및 구현에 실패를 가리키는 먼지만큼 일반적입니다. 우리는 버그 통신 경로의 무수한을 통해 민감한 장치와 응용 프로그램을 연결으로 지속 할 수 없습니다, 제대로 구성된 API는 단지입니다. 

자동차 API로 안전하게 작업하면 교육과 인내심이 필요합니다.

API 보안의 실망스러운 점은 사이버 보안 재해의 새로운 물결로 선전되어 실제로 웹 개발에서 수십 년 동안 보았던 것과 동일한 오래된 문제에 대한 새로운 설정일 뿐이라는 것입니다. 크로스 사이트 스크립팅, 주입, 잘못된 구성 : 익숙한 소리?

NIST와 같은 조직의 최근 지표는 유망하며 소프트웨어 보안이 더욱 규제되고 표준화되고 있음을 보여줍니다. 그러나, 우리는 여전히 매일 작성되는 코드의 홍수에 발생 해야 하는 보호의 양에 흠집을 넣어 필요한 전문가 부족. 개발자는 보안 지식과 책임에 대해 높아져야 하며 주도권을 잡기 위해 개발자가 아닙니다. 가전 제품에 임베디드 시스템을 작업하는 팀이 나 자동차를 다른 사람의 원격 제어 장난감으로 바꿀 수 있는 API가 있다면 일반적인 취약점 을 도입하는 것을 중단하는 데 필요한 것을 갖추고 있는지 확인해야 합니다. 

예를 들어 XSS로 인해 보안 API와 취약한 API 간의 차이는 미미하지만 개발자는 잘못된 코딩 패턴을 좋은 것과 구별하는 뉘앙스를 보여줘야 합니다. 그 외에도, 게으른 개발 프로세스는 종종 API 구성에서 평소와 같이 비즈니스, 많은 주어진 광대 한 권한과 함께 설정 된 작업을 수행하기 위해 최소 요구 사항 이상, 따라서 너무 많은 추가 위협 표면 및 잠재적인 데이터 도난을 열어. 이러한 요소는 빌드 중에 고려해야 하지만 허용 가능한 개발 관행에 배어지지 않으면 프로세스는 계속해서 위험 요소가 될 것입니다.

새로운 위협 배우 놀이터 를 피하기

위협 배우의 대상으로 API의 극적인 증가는 주의가 인식 낮은 매달려 과일로 이동하는 것을 보여줍니다 ... 그리고이 경우, 잠재적 인 차량 인수의 형태로 생명에 잠재적 인 위협뿐만 아니라, 상당한 급여에 파이프 라인이 될 수있는 하나입니다. 

API 보안을 우연히 만드십시오. 소프트웨어의 통신 생태계의 일부로 중요한 고려 사항이되어야하며 동급 최강의 보안 프로그램 목록에서 높은 수준이어야 합니다. 이 것의 핵심은 각 API를 인간처럼 취급하고 어떤 액세스 권한이 있어야 하는지 평가하는 것입니다. 회계에서 짐은 전체 회사에 대한 모든 민감한 법률 문서에 액세스 할 수 있어야합니까? 아마도, 일반적으로 액세스 제어는 실제 직원의 경우 올바르게 결정됩니다. API에 대해도 마찬가지이며, 다른 모든 것들의 동일한 제로 트러스트 방법으로 구성되지 않은 경우 모든 사람이 귀하의 비밀을 알 릴 수있는 강력한 채팅 상자임을 기억하는 것이 중요합니다.

조직은 높은 경고에 있어야 하며 개발자는 이러한 취약한 포털에서 절망에 이르는 양질의 코드를 만드는 데 필요한 눈입니다. 이 목표에 대한 올바른 사고 방식과 창조의 중요한 단계에서 올바른 결정을 내릴 수 있는 실습 기술을 통해 보안 인식 엔지니어로서 성장하고 번창할 수 있는 기회를 제공해야 할 때입니다.

우리는 당신에게 우리의 제품 및 / 또는 관련 보안 코딩 주제에 대한 정보를 보낼 수있는 귀하의 허가를 바랍니다. 우리는 항상 최대한의주의를 기울여 귀하의 개인 정보를 취급 할 것이며 마케팅 목적으로 다른 회사에 판매하지 않을 것입니다.

양식을 제출하려면 '분석' 쿠키를 활성화하세요. 완료되면 언제든지 다시 비활성화할 수 있습니다.