【Akamai】2023年互联网现状与安全性(SOTI) 报告

Log4Shell和Spring4Shell等重大漏洞的出现印证了Web应用程序和API所带来的严重区险，也体现出这些威胁面的重要影响。为了加强整体远营，企业依然在积极采用更多Web应用程序。平均而言，每家企业使用的应用程序数量已经达到了1061个，充分体现出这-攻击面在不断扩大。现有安全漏洞依然让攻击者有机可乘，层出不穷的新兴零日漏洞更是雪上加霜，促使企业比以往更需要加强应用程序安全性，以保护机密数据和安全边界。

2022年，应用程序和AP1攻击数量创下新高。2021年末，Log4Shell爆出后不久，企业就发现自己四面楚歌，还有其他多个重大漏洞威胁着他们的安全，其中包括:AtlasslanConfluence漏洞(CVE-2022-26134)ProxyNotShell漏洞(CVE-2022-41040)和Spring4Shell/SpringShell(CVE-2022-22965)等。API漏洞利用攻击的数量不断增加，即将发布的新版开放式Web应用程序安全项目(OWASP)API十大安全漏泪已将API漏泪纳入其中，这表示API安全风险已经引起了业界的极大关注。随着攻击频率的激增，攻击的复杂性也在提高，攻击者在不断“进化”，努力寻找更多新方法来利用这一不断扩大的攻击面。例如，攻击者团体使用Webshell(例如ChinaChopper)发动高度有针对性的攻击比如Hafinium团体就曾对美国的国防和教育机构发起过此类攻击。

此外，服务器端模板注入(SSTI)和服务代码注入有可能导致远程代码执行(RCE)和数据渗漏，给业务带来严重威胁。近期的一个例子是在VMwareWorkspaceONEAccessandldentityManager中发现的RCE漏洞(CVE-2022-22954)。在API成胁环境中，受损的对象级别授权是企业的主要顾虑，其原因是多方面的，但括这类漏洞的检测难度大、影响大(政击可能造成攻击者获得敏感数据的访问权限》。考虑到多种非传统攻击媒介的使用量增加，企业有必要升级应用程序和API领域的防御机制。

在本期《互联网现状/安全性》(SOTI)报告中，我们将继续研究我们在Web应用程序和API领域发现的各类攻击，探索它们对于企业的影响，以及各种漏洞在API环境中的定位。我们的目标是闻明Web应用程序和API攻击造成的危险，并提供一些针对性建议，帮助您保护网络，成功抵御此类攻击。