A05:2021 – Configuració de seguretat incorrecta
Compartir
Introducció
Descripció de la vulnerabilitat
Com a continuació a aquesta sèrie de posts sobre les vulnerabilitats OWASP Top Ten, en aquest post es comentarà sobre la vulnerabilitat A05:2021 - Security Misconfiguration o en castellà: Configuració incorrecta de ciberseguretat.
Aquesta vulnerabilitat fa referència a configuracions de ciberseguretat no implementades o implementades de manera incorrecta i es pot manifestar de diverses maneres, des de la utilització de configuracions predeterminades o insegures fins a l'exposició innecessària d'informació sensible o l'habilitació de serveis innecessaris.
Passa quan una aplicació o servidor no està configurat correctament, cosa que permet a un atacant aprofitar aquesta manca de configuració per accedir a dades sensibles, elevar privilegis i aconseguir el control de l'aplicació.
Impacte
Aquesta vulnerabilitat pot tenir conseqüències devastadores per a una organització.
En explotar una configuració insegura, els atacants poden obtenir accés a informació sensible, elevar privilegis a l'aplicació, o fins i tot utilitzar els recursos compromesos per realitzar atacs a tercers.
L'impacte d'aquesta vulnerabilitat es pot reflectir en els punts següents:
- Exposició d'informació sensible: Quan un sistema no està configurat adequadament, podeu permetre que un adversari accedeixi a dades sensibles, com credencials d'usuari, informació personal o secrets comercials.
- Control del sistema: En alguns casos, una mala configuració pot atorgar als atacants la capacitat de prendre el control complet del sistema, cosa que els permet modificar o destruir dades o utilitzar els recursos del sistema per portar a cap altres atacs.
- Compromís de la disponibilitat del sistema: Un adversari pot aprofitar una configuració incorrecta per llançar atacs de denegació de servei (DoS) que interrompin el funcionament normal de l'aplicació o del servidor, cosa que pot afectar la disponibilitat dels serveis per als usuaris legítims.
- Ús del sistema com a plataforma d'atac: Els sistemes compromesos a causa d'una mala configuració de seguretat poden ser utilitzats pels atacants com a plataformes des de les quals llançar atacs a altres sistemes, cosa que pot ampliar considerablement l'abast del mal.
Exemples pràctics
Exposició de credencials al codi font de l'aplicació i elevació de privilegis
Un dels exemples més comuns d'aquesta vulnerabilitat és quan una aplicació es desplega amb configuracions per defecte, contrasenyes al codi de l'aplicació usades a l'etapa de desenvolupament o permisos a usuaris que són més amplis del necessari.
Per demostrar-ho, s'accedeix al laboratori web de Zerolynx amb un usuari sense privilegis, user1 en aquest cas.
Exposició de l'estructura de fitxers de l'aplicació
Compromís de la disponibilitat a causa de programari vulnerable
Mitigacions
- Un procés de maquinari repetible fa que sigui ràpid i fàcil desplegar i que estigui adequadament implementat. Els entorns de desenvolupament, control de qualitat i producció s'han de configurar de manera idèntica, utilitzant credencials diferents en cadascun.
- Una plataforma mínima sense característiques, components, documentació i mostres innecessàries.
- Revisar i actualitzar les configuracions adequades a totes les notes de seguretat, actualitzacions i pegats com a part del procés de gestió de pegats.
- Usar una arquitectura d'aplicacions segmentada que proporcioni una separació eficaç i segura entre els components de l'aplicació.
- Correcta implementació de les capçaleres de seguretat.
- Implementació de processos automàtics abans de desplegar la producció que assegurin l'efectivitat de les mesures adoptades.