In che modo le vulnerabilità dell'autenticazione API sono al centro delle preoccupazioni sulla sicurezza del cloud

Aug 25, 2023

I servizi cloud di Microsoft sono stati messi sotto esame negli ultimi mesi, con le API al centro della questione. Ecco alcune strategie per contribuire a mitigare i problemi di sicurezza che possono verificarsi durante l'utilizzo delle API.

Negli ultimi tempi il cielo del cloud computing è stato un po' burrascoso per Microsoft, che si è trovata nel mirino non solo di un utente malintenzionato che ha abusato dell'autenticazione, ma anche della società Tenable, che ha sottolineato che il colosso dei servizi cloud ha un problema generale con l'autenticazione. Un post di Microsoft e un articolo di Tenable hanno entrambi evidenziato il problema dell'autenticazione cloud e messo in luce alcuni dei suoi punti deboli.

Nel post Tenable, Microsoft è stata criticata per la sua mancanza di trasparenza nella sicurezza del cloud. Come descritto dal CEO di Tenable Amit Yoran, il problema in questione "si è verificato a causa di un controllo insufficiente dell'accesso agli host delle funzioni di Azure, che vengono avviati come parte della creazione e del funzionamento di connettori personalizzati nella piattaforma Power di Microsoft (Power Apps, Power Automation). "

Se indovinassi un URL di Azure, potresti ottenere l'accesso anche senza autenticazione. Come ha scritto Yoran, "Era quindi possibile per un utente malintenzionato che ha determinato il nome host della funzione di Azure associata al connettore personalizzato interagire con la funzione, come definito dal codice del connettore personalizzato, senza autenticazione. Con uno di questi nomi host, un utente malintenzionato potrebbe determinare i nomi host per Funzioni di Azure associati ai connettori personalizzati di altri clienti, poiché differivano solo per un numero intero."

Da parte sua, Microsoft ha indicato in una nota tecnica di aver mitigato la vulnerabilità relativa alla divulgazione di informazioni del codice personalizzato Power Platform e di aver informato i clienti interessati di questo problema tramite l'interfaccia di amministrazione di Microsoft 365 (MC665159) a partire dall'agosto 2023, se non avete ricevuto notifica, non è richiesta alcuna azione.

Al centro del problema ci sono le interfacce di programmazione delle applicazioni (API), che offrono un servizio o una connessione tra altri software senza richiedere l’accesso umano. Con le API, spesso è difficile accedere alla sicurezza finché non succede qualcosa.

Le organizzazioni spesso hanno bisogno di assumere consulenti specializzati per rivedere il software e garantire che non vi siano vulnerabilità evidenti. Dal software open source a quello proprietario, a meno che non venga revisionato da specialisti, la sola revisione del fornitore in genere non è sufficiente per individuare eventuali problemi.

La Top 10 della sicurezza API OWASP elenca i tipici problemi principali che dovresti cercare quando hai a che fare con le API. Dall'autorizzazione non funzionante a livello di oggetto al consumo non sicuro delle API, sottolinea che troppo spesso con le API ci fidiamo semplicemente troppo del loro utilizzo. Inoltre tendiamo a limitare raramente l'uso delle API perché offriamo un servizio che può essere utilizzato da un pubblico più ampio. Se il tuo utilizzo delle API non sarà utilizzato dal pubblico più ampio, prendi in considerazione l'utilizzo di tecnologie aggiuntive attualmente in versione beta che potrebbero essere in grado di proteggere e difendere ulteriormente.

Alcune di queste soluzioni, tuttavia, non sono ancora diffuse e sono ancora in anteprima pubblica. Un esempio calzante è la soluzione IP Firewall di Microsoft attualmente in anteprima negli ambienti Power Platform. Come indicato nella documentazione Microsoft, aiuta a mitigare le minacce interne come l'esfiltrazione di dati in tempo reale. "Un utente malintenzionato che tenta di scaricare dati da Dataverse utilizzando uno strumento client, come Excel o Power BI, non può scaricare i dati in base alla posizione IP."

IP Firewall aiuta inoltre a bloccare gli attacchi di token replay provenienti dall'esterno degli intervalli IP configurati. "Se un utente ruba un token e tenta di utilizzarlo per accedere a Dataverse da intervalli IP configurati esterni, l'accesso viene negato da Dataverse in tempo reale," IP Firewall funziona sia per scenari interattivi che non interattivi, è disponibile per ambienti gestiti, ed è supportato per qualsiasi ambiente Power Platform che include Dataverse.

Spesso con le API i problemi di sicurezza si riducono all'essenziale:

Autorizzazioni. Non trascurare le basi delle autorizzazioni API e non permettere loro di essere troppo permissivi sui servizi cloud. Come nel caso dell'accesso degli utenti, le autorizzazioni di base possono spesso portare a esposizione o attacchi. Limitare l'utilizzo dell'accesso al minimo richiesto.