La seguridad de las aplicaciones web es una prioridad máxima para las empresas de todos los tamaños. Los firewalls de aplicaciones web (WAF) juegan un papel crucial en la protección contra ataques maliciosos dirigidos a aplicaciones web. Recientemente, se ha puesto en relieve una preocupante noticia: Barracuda Networks, un líder en soluciones de seguridad, ha divulgado vulnerabilidades críticas en su WAF que afectan la carga de archivos y la protección JSON.
Antes de profundizar en las vulnerabilidades, es fundamental comprender qué es un WAF y cómo funciona. Un WAF es una barrera de seguridad que se sitúa entre el tráfico de internet y una aplicación web, filtrando, monitoreando y bloqueando el tráfico malicioso para proteger la aplicación contra una variedad de ataques, incluyendo inyecciones SQL, cross-site scripting (XSS) y falsificación de solicitudes entre sitios (CSRF), entre otros.
Barracuda WAF es una solución de seguridad de renombre que proporciona defensa contra amenazas en línea, asegurando que las aplicaciones web permanezcan seguras y accesibles solo para el tráfico legítimo. Sin embargo, como cualquier tecnología, no está exenta de vulnerabilidades.
Conoce más sobre: Protege tus Aplicaciones Web con un WAF
Recientemente, Barracuda emitió un aviso de seguridad que confirma la detección de 7 vulnerabilidades en su producto WAF (Web Application Firewall), con niveles de gravedad que van desde alta hasta crítica.
El WAF de Barracuda es una solución diseñada para proteger aplicaciones web contra diversas amenazas y ataques. Ofrecido como servicio en la nube, proporciona simplicidad, escalabilidad y seguridad integral para las aplicaciones, incluyendo la defensa contra ataques de denegación de servicio distribuido (DDoS).
Estas vulnerabilidades identificadas podrían permitir a los atacantes eludir las funciones de protección del WAF, lo que podría resultar en la inclusión de archivos locales (LFI) o incluso la ejecución remota de código (RCE).
Conoce más sobre: Comprendiendo los Ataques de Remote Code Execution (RCE)
Antes de profundizar en el análisis de las vulnerabilidades, es importante mencionar las versiones de firmware afectadas:
- 11.x
- 12.0
- 12.1
Barracuda ha abordado estas vulnerabilidades en la versión 12.2 del firmware, categorizándolas en dos grupos en su aviso: la primera categoría incluye vulnerabilidades consideradas críticas, mientras que la segunda agrupa problemas de gravedad alta y crítica.
El conjunto de vulnerabilidades identificadas en el aviso de Barracuda surge de la ausencia de un enfoque de denegación por defecto, lo que posibilita acciones no autorizadas y no aprobadas. Específicamente, en el caso de las vulnerabilidades del WAF de Barracuda, esto facilita la explotación de métodos no definidos en las políticas, lo que potencialmente permite la ejecución de actividades maliciosas.
Las vulnerabilidades clasificadas en 'Categoría 1' surgen de limitaciones dentro de la función de protección de carga de archivos del WAF de Barracuda. Se ha descubierto que la configuración de seguridad puede ser eludida mediante el uso de métodos HTTP distintos a POST, especialmente PUT.
Barracuda señala que, aunque estos métodos no están permitidos por defecto, permiten la creación o modificación de recursos, eludiendo así las políticas y restricciones de seguridad de carga de archivos, lo que posibilita la carga de archivos maliciosos y potencialmente desencadena problemas como RCE o inclusión de archivos locales.
A continuación se detallan los identificadores de vulnerabilidad (VID) en la Categoría 1:
- VID 1.1: El uso del método PUT y la carga de múltiples archivos en una sola solicitud puede eludir el recuento de "Archivos máximos permitidos" establecido en el Barracuda WAF. Se recomienda a los usuarios configurar el máximo de archivos de carga según sea necesario después de la actualización, con el valor recomendado siendo 5.
- VID 1.2: El uso de un método distinto a POST puede eludir la configuración de seguridad que limita los tipos de archivos MIME permitidos en el WAF. Si el administrador del WAF restringe los tipos MIME para prevenir la carga de ejecutables, lo que podría conducir a la explotación de vulnerabilidades RCE o CFI (Control-Flow Integrity), estas medidas de protección pueden ser eludidas mediante métodos como PUT.
- VID 1.3: Al utilizar un método distinto a POST, como PUT, un atacante puede eludir el motor antivirus utilizado por el administrador del WAF para proteger una aplicación backend de cargas de archivos maliciosos.
- VID 1.4: Si el administrador del WAF utiliza el motor Barracuda Advanced Threat Protection (ATP) para proteger una aplicación backend, un atacante puede eludir las medidas de protección utilizando un método distinto a POST, como PUT. Barracuda afirma que los usuarios suscritos a ATP pueden solicitar un parche de firmware asistido por soporte.
Te podrá interesar: Hackers chinos usan Día Cero en dispositivos ESG Barracuda
Las vulnerabilidades clasificadas en 'Categoría 2' provienen de limitaciones en el módulo de protección de seguridad JSON del WAF de Barracuda. Esta protección puede ser eludida si los atacantes utilizan métodos HTTP no especificados en la política de seguridad JSON.
La política de seguridad JSON por defecto del firewall está configurada para métodos POST. En la configuración del perfil del sitio web, los métodos están restringidos a aquellos especificados en la política, bloqueando otros. La configuración del método dentro de las políticas de seguridad JSON sirve como criterio de coincidencia. Si el método no coincide con la configuración de la política, la carga útil elude las comprobaciones de seguridad.
A continuación se detallan las vulnerabilidades en la Categoría 2 según el aviso de Barracuda:
- VID 2.1: Cuando un administrador carga un archivo de especificación API (por ejemplo, OAS/Swagger), se crean políticas de punto final basadas en ese archivo. Sin embargo, estas políticas pueden permitir cargas útiles maliciosas con métodos distintos a los definidos, eludiendo así los controles de seguridad.
- VID 2.2: La carga de un archivo de especificación API (por ejemplo, OAS/Swagger) establece políticas de punto final, pero no se establece una política de “último recurso” para puntos finales que no están en OAS. Los atacantes pueden aprovechar esto enviando cargas maliciosas a dichos puntos finales, eludiendo los controles de seguridad. Como medida de protección, se recomienda configurar manualmente la coincidencia extendida en * para un perfil JSON predeterminado después de la actualización.
- VID 2.3: La política de seguridad JSON predeterminada en el WAF solo protege las cargas JSON a través del método POST. Sin embargo, esto presenta una limitación de diseño ya que la política omite el análisis sin un mecanismo global a prueba de fallos. Barracuda recomienda, después de la actualización, configurar manualmente el perfil JSON predeterminado estableciendo la coincidencia extendida en *, habilitando la verificación de método estricto y configurando los métodos permitidos según sea necesario para los puntos finales de la API.
Podría interesarte: ¿Tu software está al día?: Importancia de los Parches
Las organizaciones pueden identificar y evaluar vulnerabilidades en sus sistemas a través de las capacidades de detección de vulnerabilidades de TecnetOne: la plataforma monitorea continuamente el panorama de amenazas, incluidas las vulnerabilidades y exploits más recientes, proporcionando alertas en tiempo real cada vez que se descubren vulnerabilidades o exploits críticos para componentes de productos predefinidos y tecnologías asociadas a la huella digital de una organización.