Las 5 vulnerabilidades de seguridad más peligrosas
Las vulnerabilidades de inyección ocurren cuando una aplicación envía datos que no son de confianza al intérprete. Estas vulnerabilidades son comunes y afectan a una gran cantidad de programas. Las vulnerabilidades de inyección más comunes afectan a los analizadores SQL, LDAP, XPath, XML y a los parámetros del programa.
Las vulnerabilidades de inyección se pueden encontrar analizando el código, pero si el sistema se ha implementado en un entorno de producción, es difícil encontrar estas vulnerabilidades durante las pruebas.
Las consecuencias de utilizar vulnerabilidades de secuestro para realizar ataques a la red pueden incluir: fuga de datos confidenciales, denegación de servicio, etc.
Un atacante puede ejecutar un ataque de secuestro para comprometer completamente un sistema objetivo y hacerse con el control del mismo.
Las vulnerabilidades de inyección pueden afectar a una variedad de software y su impacto depende del alcance o extensión de la aplicación afectada. Un impacto típico que pueden causar las vulnerabilidades de inyección son las vulnerabilidades Bash Bug. El equipo de seguridad de Red Hat ha descubierto una peligrosa vulnerabilidad de seguridad llamada "Bash Bug" en el shell Bash de Linux. La vulnerabilidad permite que el código del atacante se ejecute como si estuviera dentro de un shell con acceso normal de usuario, abriendo la puerta a una variedad de ataques.
Estas vulnerabilidades pueden tener un gran impacto en los dispositivos de IoT (como medidores inteligentes, enrutadores, cámaras web, etc.). Las vulnerabilidades de desbordamiento del búfer ocurren cuando una aplicación intenta almacenar datos en un búfer que excede su capacidad. Escribir datos en el búfer desde el exterior permite a un atacante sobrescribir el contenido de bloques de memoria adyacentes, lo que provoca corrupción de datos, fallas del programa o incluso la ejecución de cualquier código malicioso.
Los ataques de desbordamiento de búfer son difíciles de detectar, pero también son más difíciles de explotar que los ataques de inyección. Un atacante necesitaría comprender la gestión de memoria de la aplicación objetivo y saber cómo modificar su contenido para ejecutar el ataque.
En un ataque típico, el atacante envía datos a un programa que los almacena en un pequeño búfer de pila, lo que puede llevar a sobrescribir información en la pila de llamadas, incluidos los retornos del puntero de funciones. De esta manera, el atacante puede ejecutar su propio código malicioso una vez completada la función legítima, entregando el control al código de explotación que contiene los datos del atacante.
Debido al creciente número de ataques contra SCADA, esta vulnerabilidad de desbordamiento del buffer será explotada con mayor frecuencia. Los datos pueden almacenarse en el sistema o transferirse entre dos entidades (como un servidor o un navegador) y, sin la protección adecuada, puede producirse una fuga de datos confidenciales.
Las violaciones de datos confidenciales pueden implicar el acceso a datos en reposo o en tránsito (incluidas también las copias de seguridad y los datos que está viendo el usuario).
Un atacante tiene varias opciones, por ejemplo, si quiere robar o atacar el almacenamiento de datos, puede utilizar ataques basados en malware, interceptar datos entre el servidor y el navegador mediante un intermediario. ataques o trucos La aplicación web realiza determinadas acciones (por ejemplo, cambiar el contenido de un carrito de compras en una aplicación de comercio electrónico o elevar privilegios), etc.
La principal causa de las fugas de datos confidenciales es la falta de cifrado de datos confidenciales, pero incluso si se implementan mecanismos de cifrado, otros eventos pueden provocar una fuga de información. La generación y gestión de claves, algoritmos, etc. menos sólidos son comunes en muchas industrias y aplicaciones.
Múltiples incidentes durante el año pasado han demostrado la gravedad de esta vulnerabilidad, particularmente en dos áreas: implementación de algoritmos de cifrado incorrectos y falta de cifrado en escenarios de aplicaciones móviles y en la nube.
En septiembre de 2014, expertos del Centro de Coordinación del Equipo de Respuesta a Emergencias Informáticas de EE. UU. (CERT/CC) probaron algunas aplicaciones de Android que no pudieron verificar adecuadamente los certificados SSL y publicaron un informe de prueba.
El informe del CERT concluyó que muchas aplicaciones utilizan bibliotecas vulnerables, como la biblioteca Flurry. Como resultado, los usuarios de Android están expuestos a este tipo de ataques, mientras que sólo unas pocas empresas han tomado medidas para garantizar la seguridad de sus productos.
Los atacantes normalmente no rompen el cifrado directamente, sino que explotan fallas que filtran datos confidenciales.
Esto significa que un atacante robaría claves de cifrado, ejecutaría ataques de intermediario y robaría datos de texto sin cifrar transmitidos desde el servidor o el navegador del usuario.
Tenga en cuenta que la exfiltración de datos confidenciales suele ser parte de la primera fase de una campaña de ataque, lo que significa que el atacante utilizará luego otras técnicas de piratería.
Todas las organizaciones que gestionan datos confidenciales corren el riesgo de ser atacadas, especialmente aquellas con un gran número de usuarios, muchos de los cuales podrían abrir la puerta a ciberataques. Los ataques de autenticación y administración de sesiones ocurren cuando un atacante explota vulnerabilidades o fallas en el proceso de autenticación o administración de sesiones (por ejemplo, cuentas, contraseñas, ID de sesión, etc. comprometidos) y se hace pasar por otro usuario.
Este tipo de ataque es muy común y muchos grupos de piratas informáticos aprovechan estas vulnerabilidades para acceder a las cuentas de las víctimas, realizar ciberespionaje o robar información para actividades delictivas.
Un problema importante de amenazas está relacionado con las implementaciones personalizadas de mecanismos de autenticación y gestión de sesiones, que en la mayoría de los casos conducen a actividades de ataque. Esta vulnerabilidad afecta a aplicaciones de red como el cierre de sesión de usuario, la administración de contraseñas, los tiempos de espera, las funciones "recordarme" para inicios de sesión en sitios web, etc. Las actualizaciones de cuentas también se ven afectadas por ataques de vulnerabilidad de autenticación.
El mayor problema es que si la vulnerabilidad se explota con éxito, el atacante puede hacerse pasar por la víctima y realizar cualquier actividad con los privilegios obtenidos.
Desafortunadamente, las vulnerabilidades de los ataques de autenticación y gestión de sesiones pueden ser difíciles de abordar porque cada víctima diferente implementa una gran cantidad de mecanismos de autenticación. Los sistemas de autenticación y gestión de sesiones suelen ser inconsistentes, lo que hace que la adopción de mejores prácticas a escala no sea trivial.
Hay muchas formas en que los atacantes pueden eludir los mecanismos de autenticación, incluido el uso de ataques de inyección SQL para aplicar fuerza bruta a la cuenta objetivo, recuperar tokens de sesión de URL, aprovechar los tiempos de espera de sesión y reutilizar tokens de sesión que ya se han utilizado. O romper el navegador del usuario, etc.
Los ataques más comunes se basan en sesiones y los mecanismos de autenticación suelen basarse en tokens asociados a cada sesión en el servidor. Un atacante que obtiene el token de sesión puede hacerse pasar por la víctima sin tener que volver a proporcionar las credenciales de inicio de sesión. Esta vulnerabilidad es en realidad la más común y peligrosa. La gran cantidad de servidores y aplicaciones mal configurados en la red abre la puerta a los ciberataques.
A continuación se muestran algunos errores de configuración de seguridad típicos:
- Ejecución de software obsoleto: las aplicaciones y productos en entornos de producción aún se ejecutan en modo de depuración o aún contienen módulos de depuración. - Ejecutar servicios innecesarios en el sistema. - Los permisos de acceso a los recursos y servicios del servidor no están configurados, provocando que se filtre información sensible o que los atacantes destruyan o roben esta información. - La configuración de fábrica (como las claves y contraseñas predeterminadas) no se modifica. - La gestión de excepciones incorrecta da como resultado que la información del sistema se filtre a los atacantes. - Usar cuenta predeterminada.