A05:2021 – Security misconfiguration

A05:2021 – Configuració de seguretat incorrecta

Celia Catalán

Introducció

Descripció de la vulnerabilitat 

Com a continuació a aquesta sèrie de posts sobre les vulnerabilitats OWASP Top Ten, en aquest post es comentarà sobre la vulnerabilitat A05:2021 - Security Misconfiguration o en castellà: Configuració incorrecta de ciberseguretat.

Aquesta vulnerabilitat fa referència a configuracions de ciberseguretat no implementades o implementades de manera incorrecta i es pot manifestar de diverses maneres, des de la utilització de configuracions predeterminades o insegures fins a l'exposició innecessària d'informació sensible o l'habilitació de serveis innecessaris. 

Passa quan una aplicació o servidor no està configurat correctament, cosa que permet a un atacant aprofitar aquesta manca de configuració per accedir a dades sensibles, elevar privilegis i aconseguir el control de l'aplicació.

Impacte

Aquesta vulnerabilitat pot tenir conseqüències devastadores per a una organització. 

En explotar una configuració insegura, els atacants poden obtenir accés a informació sensible, elevar privilegis a l'aplicació, o fins i tot utilitzar els recursos compromesos per realitzar atacs a tercers.

L'impacte d'aquesta vulnerabilitat es pot reflectir en els punts següents:

  • Exposició d'informació sensible: Quan un sistema no està configurat adequadament, podeu permetre que un adversari accedeixi a dades sensibles, com credencials d'usuari, informació personal o secrets comercials.
  • Control del sistema: En alguns casos, una mala configuració pot atorgar als atacants la capacitat de prendre el control complet del sistema, cosa que els permet modificar o destruir dades o utilitzar els recursos del sistema per portar a cap altres atacs.
  • Compromís de la disponibilitat del sistema: Un adversari pot aprofitar una configuració incorrecta per llançar atacs de denegació de servei (DoS) que interrompin el funcionament normal de l'aplicació o del servidor, cosa que pot afectar la disponibilitat dels serveis per als usuaris legítims.
  • Ús del sistema com a plataforma d'atac: Els sistemes compromesos a causa d'una mala configuració de seguretat poden ser utilitzats pels atacants com a plataformes des de les quals llançar atacs a altres sistemes, cosa que pot ampliar considerablement l'abast del mal.

Exemples pràctics

Exposició de credencials al codi font de l'aplicació i elevació de privilegis

Un dels exemples més comuns d'aquesta vulnerabilitat és quan una aplicació es desplega amb configuracions per defecte, contrasenyes al codi de l'aplicació usades a l'etapa de desenvolupament o permisos a usuaris que són més amplis del necessari.

Per demostrar-ho, s'accedeix al laboratori web de Zerolynx amb un usuari sense privilegis, user1 en aquest cas.



En accedir a l'aplicació, es pot observar com s'ha accedit al tauler de l'usuari i només es té accés als items d'aquest usuari, encara que no n'hi ha cap creat en aquest cas.


En inspeccionar el codi, es pot observar com a causa d'una mala configuració de seguretat, no s'ha eliminat un comentari creat a l'etapa de desenvolupament, que ofereix les credencials d'administració:




Si ara es fan servir aquestes credencials, es pot accedir a l'aplicació web com a usuari amb privilegis d'administrador, com es mostra a les imatges següents.




Exposició de l'estructura de fitxers de l'aplicació

Si el sistema mostra missatges d'error detallats o fitxers de configuració per defecte, podria estar revelant informació interna valuosa com versions de programari o rutes de fitxers, la informació dels quals permet a un atacant saber les versions que utilitza el sistema i explotar les vulnerabilitats públiques existents que afecten aquestes versions.

Si s'accedeix a l'adreça IP del servidor que dóna suport al laboratori, que s'està usant per demostrar aquesta vulnerabilitat, es mostra la pàgina per defecte d'Apache a causa d'una mala configuració.


Si s'accedeix a la ruta /ZVulnLabs/, com que no ha estat configurat correctament el servidor, es mostren tots els fitxers pel fet que és vulnerable a Llistat de Directoris, cosa que dóna informació de l'estructura de directoris i dels fitxers que componen l'aplicació:


Si s'accedeix a la carpeta /ZVulnLabs/càrregues/ es pot accedir directament als fitxers que han estat pujats a l'aplicació web, a més d'obtenir la versió del servidor Apache.

Compromís de la disponibilitat a causa de programari vulnerable

La manca d'actualització de les aplicacions també és deguda a una mala configuració, permetent a un atacant fer ús de vulnerabilitats els exploits de les quals han estat publicats, els quals donarien més facilitat a un adversari comprometre l'aplicació.

Tenint en compte l'anterior, si es busquen vulnerabilitats per a la versió de Apache/2.4.57 (Debian) Server, es confirma que aquesta versió té vulnerabilitats públiques associades, com el CVE-2023-43622:

Aquesta vulnerabilitat permet a un atacant iniciar una connexió HTTP amb una mida de finestra de valor zero, cosa que permetria a un adversari una Denegació de Servei o DoS. A més, té exploit públic associat, cosa que per a un atacant que volgués comprometre la disponibilitat del servei web, seria una cosa trivial explotar aquesta vulnerabilitat.

Mitigacions

Com a mitigacions d'aquesta vulnerabilitat, OWASP recomana les següents:
  • Un procés de maquinari repetible fa que sigui ràpid i fàcil desplegar i que estigui adequadament implementat. Els entorns de desenvolupament, control de qualitat i producció s'han de configurar de manera idèntica, utilitzant credencials diferents en cadascun.
  • Una plataforma mínima sense característiques, components, documentació i mostres innecessàries.
  • Revisar i actualitzar les configuracions adequades a totes les notes de seguretat, actualitzacions i pegats com a part del procés de gestió de pegats.
  • Usar una arquitectura d'aplicacions segmentada que proporcioni una separació eficaç i segura entre els components de l'aplicació.
  • Correcta implementació de les capçaleres de seguretat.
  • Implementació de processos automàtics abans de desplegar la producció que assegurin l'efectivitat de les mesures adoptades.

Conclusions

La vulnerabilitat Security Misconfiguration continua sent una de les principals causes de bretxes de seguretat en aplicacions i sistemes. La complexitat inherent de les infraestructures tecnològiques modernes fa que la configuració incorrecta sigui un problema comú però prevenible. 

En implementar processos d'instal·lació segurs, automatitzar la robustesa de sistemes, mantenir una plataforma mínima i aplicar una gestió adequada de pegats i actualitzacions, les organitzacions poden reduir significativament la seva exposició a aquesta vulnerabilitat.

Justo Martín, Analista de Ciberseguretat a Zerolynx.
Tornar al bloc

Deixa un comentari

Tingueu en compte que els comentaris s'han d'aprovar abans que es publiquin.