Современные киберугрозы становятся все более сложными и изощренными, поэтому для стабильной работы организация уже не может обойтись без новейших методов защиты. Долгое время считалось, что для обеспечения безопасности веб-приложений вполне достаточно использования WAF (Web Application Firewall). Однако стремительный рост числа API и увеличивающееся количество угроз заставили пересмотреть этот подход. Многие компании столкнулись с тем, что они зачастую не имеют полного представления, какие ресурсы используются и насколько они уязвимы, вследствие чего у них недостаточно контроля над своими API.

В ответ на эту проблему команда разработчиков Вебмониторэкс создала средство защиты ПроAPI Структура, которое позволяет инвентаризировать все API, узнать их состав и выявить уязвимости. Важным дополнением нашего решения стала новая функциональность, которая позволяет собирать статистику по роутам и использовать её для раннего обнаружения атак и оперативного реагирования на них. Сегодня я представлю это нововведение.

Чтобы глубже понять, как работает наша новая функция, давайте разберем ключевые термины. При работе с API используются понятия эндпоинт и роут. Первое – это само обращение клиента, запускающее конкретное действие приложения. Например, GET, PATCH, DELETE. Роут же представляет собой URL, то есть имя, по которому API запускает работу эндпоинтов. Примером может служить функция авторизации, соответствующая роуту example.com/login.php. При этом, важно помнить, что один роут может запускать несколько эндпоинтов.

В современном цифровом мире киберугрозы становятся все более сложными и изощренными, что требует от компаний применения эффективных мер защиты. Одним из наиболее эффективных способов обеспечения безопасности является интеграция Центров мониторинга информационной безопасности (Security Operations Center, SOC) и Межсетевых экранов уровня веб-приложений (Web Application Firewall, WAF). Интеграция различных систем безопасности позволяет создать общий контекст безопасности. Важное место в этом процессе занимают WAF.  При этом есть особенность - WAF играет роль как в контексте разработки приложений (DevOps, AppSec), так и в оперативной эксплуатации. На стадии стейджинга WAF может работать в режиме мониторинга, что позволяет обнаруживать уязвимости без блокировки и передавать информацию в DevOps о потенциальных угрозах на этапе разработки. Это связывает WAF с областью application security, так как он активно участвует в обнаружении и защите от уязвимостей веб-приложений, что необходимо для интеграции в цикл CI/CD. Однако WAF также выполняет функции оперативной эксплуатации, предотвращая атаки и обеспечивая непрерывную защиту в реальном времени. Этот аспект делает его важным компонентом для Security Operations Centers (SOC) или аналогичных подразделений, ответственных за оперативное реагирование на угрозы.

Таким образом, дилемма относительно WAF заключается в его двойной роли: как части application security, включенной в DevOps и процессы CI/CD, и как средства оперативной защиты, интегрированного в SOC для мониторинга и реагирования на угрозы в реальном времени.

Web Application Firewall (WAF) — это ключевой компонент системы безопасности веб-приложений, предназначенный для защиты от различных киберугроз, которые могут эксплуатировать уязвимости в коде или архитектуре приложения. Он анализирует запросы, направленные к веб-приложению, и фильтрует подозрительные действия, предотвращая широкий спектр атак.

Приветствую вас!

Меня зовут Анастасия Травкина, я младший аналитик в компании Вебмониторэкс. Вместе с отделом детекта мы подготовили дайджест по уязвимостям за прошедшие два месяца лета. Эта информация поможет вам обезопасить свои системы и предотвратить потенциальные угрозы.

Мониторинг уязвимостей помогает своевременно выявлять и устранять потенциальные угрозы. Регулярный аудит систем, обновление программного обеспечения и обучение сотрудников помогут создать надежную защиту от потенциальных атак. Не забывайте: безопасность — это не конечная цель, а постоянный процесс!

Обращаем ваше внимание на следующие уязвимости:

⚡️ Zabbix Audit Log CVE-2024-22120

⚡️ Git CVE-2024-32002

⚡️WordPress PostX Plugin CVE-2024-5326

⚡️Atlassian Confluence Data Server и Data Center CVE-2024-21683

⚡️ JetBrains TeamCity CVE-2024-36370

⚡️ PHP CVE-2024-4577

⚡️ Mailcow CVE-2024-31204/ CVE-2024-30270

⚡️ Adobe Commerce/Magento CVE-2024-34102 

⚡️ Docassemble - CVE-2024-27292

⚡️ Microsoft SharePoint Server 2019 - CVE-2024-38094/ CVE-2024-38023/ CVE-2024-38024

Эти уязвимости охватывают широкий спектр технологий и платформ, и каждая из них требует своевременного устранения потенциальных угроз. Внимательно ознакомьтесь с описанием каждой уязвимости и следуйте рекомендациям по обновлению для защиты ваших систем.

Zabbix Audit Log CVE-2024-22120

Обнаружена уязвимость в недостаточной проверке входных данных, которая ведет к SQL-инъекции.

Затронутые версии: 6.0.0-6.0.27, 6.4.0-6.4.12, 7.0.0alpha1-7.0.0beta1.

Рекомендация: обновите Zabbix до безопасной версии, чтобы защититься от SQL-инъекций.