在 JumpCloud 向用户发出通知,称将无效化 API 密钥的前两天,其所经历的安全事件仍未明朗。安全研究人员指出,公司不会轻易撤销 API 密钥,重装这些密钥可能导致应用程序至数小时的停机,因为与 JumpCloud 相关的所有应用在重新安装期间都无法正常工作。
根据目前掌握的有限信息,JumpCloud 似乎认为某些客户账户的管理员 API 密钥可能从其服务器泄露。Zimperium 的产品策略副总裁 Krishna Vishnubhotla 解释称,一旦重置管理员密码,客户就需要重新生成在其端基于管理员密钥派生的所有密钥。
“这就是问题所在,所有使用这些密钥的企业应用会立即停止工作,”Vishnubhotla 表示。“这通常意味着客户人员很可能无法登录或访问必要的企业应用,导致远程工作的停滞,整个公司的工作可能会陷入停滞。”
Salt Security 的现场首席技术官 Nick Rago 补充说,撤销所有 API 密钥可能会干扰依赖该 API 进行单点登录SSO、多因素身份验证MFA、密码管理和设备管理等操作的所有系统。他指出,由于数千个组织依赖该平台管理这些关键服务,客户的影响是潜在严重的。
“除了通知 API 密钥已被无效化且必须重置外,并没有看到关于此次安全事件的透明度以及可能暴露 API 密钥的时间和防范措施,”Rago 表示。“然而,这一事件显然迫使 JumpCloud 对全体客户采取这样的行动。简单来说,一个被不当使用的 JumpCloud API 密钥可能会危及组织的关键目录和身份服务的管理与配置。”
Rago 还指出,许多组织每天依赖此云服务提供商的 API 来管理关键的基础设施和业务驱动服务。事件提醒各组织应向其云服务提供商询问能否限制来自有限白名单位置的 API 访问,以降低敌手获取特权 API 密钥后可能造成的风险。
梯子大全vp-nZimperium 的 Vishnubhotla 称,为保护数据,企业通常会选择尽可能强大的加密算法。然而,大多数应用程序团队并未花时间确保生成的密钥在静态、动态和内存中的安全。
“在移动设备上的问题更为严重,许多流行应用将密钥嵌入应用中,”Vishnubhotla 指出。“此外,应用团队依赖设备上的安全硬件来保护这些密钥,但如果设备受损,这些硬件是不可被信任的。API 密钥的情况类似,它们嵌入在应用中使其在反向工程和检查时容易被盗取。”
AppViewX 的首席解决方案官 Murali Palanisamy 表示,撤销 API 密钥几乎意味着客户被锁定在身份提供者之外。Palanisamy 提到,API 密钥的潜在利用可以产生广泛影响,这取决于实施的访问级别和控制措施。
“从访问仪表盘和不同登录报告的能见度,到潜在提升访问权限并接管整个环境,尤其是在云身份提供者的情况下,这些影响可能非常广泛,”Palanisamy 说。“尽管已有措施来保护 API 密钥和令牌,但动态和短期密钥的采用并不普遍。”
