A05:2021 – Security misconfiguration

A05:2021 – Segurtasun konfigurazio okerra

Celia Catalán

Sarrera

Ahultasunaren deskribapena 

OWASP Top Ten ahultasunei buruzko argitalpen sorta honen jarraipen gisa, argitalpen honetan A05:2021 ahultasuna komentatuko dugu edo gaztelaniaz: zibersegurtasun konfigurazio okerra.

Zaurgarritasun hau inplementatu gabeko edo gaizki inplementatutako zibersegurtasun konfigurazioei dagokie eta hainbat modutara ager daiteke, konfigurazio lehenetsiak edo seguruak erabiltzeatik, informazio sentikorra alferrikako erakusketara edo beharrezkoak ez diren zerbitzuak gaitu arte. 

Aplikazio edo zerbitzari bat behar bezala konfiguratuta ez dagoenean gertatzen da, erasotzaile bati konfigurazio falta hori ustiatzeko aukera ematen dio datu sentikorrak atzitzeko, pribilegioak igotzeko eta aplikazioaren kontrola lortzeko.

Eragina

Ahultasun horrek ondorio latzak izan ditzake erakunde batean. 

Segurtasunik gabeko konfigurazio bat baliatuz, erasotzaileek informazio sentikorra eskura dezakete, aplikazioen pribilegioak handitu edo arriskuan dauden baliabideak erabil ditzakete hirugarrenen aurkako erasoak egiteko.

Zaurgarritasun horren eragina puntu hauetan isla daiteke:

  • Informazio sentikorra agertzea: sistema bat behar bezala konfiguratuta ez dagoenean, aurkari bati datu sentikorrak atzitzeko baimena eman diezaioke, hala nola erabiltzailearen kredentzialak, informazio pertsonala edo sekretu komertzialak.
  • Sistemaren kontrola: Kasu batzuetan, konfigurazio okerrak sistemaren kontrol osoa hartzeko gaitasuna eman diezaieke erasotzaileei, datuak aldatzeko edo suntsitzeko edo sistemaren baliabideak beste eraso batzuk egiteko aukera emanez.
  • Sistemaren erabilgarritasunaren konpromezua: Aurkari batek konfigurazio okerra aprobetxatu dezake aplikazioaren edo zerbitzariaren funtzionamendu normala oztopatzen duten zerbitzuaren ukapenaren (DoS) erasoak abiarazteko, eta horrek erabiltzaile legitimoentzako zerbitzuen erabilgarritasuna eragin dezake.
  • Sistema eraso-plataforma gisa erabiltzea: Segurtasun-konfigurazio eskasa dela-eta arriskuan dauden sistemak beste sistema batzuei erasoak abiarazteko plataforma gisa erabil ditzakete erasotzaileek, eta horrek kaltearen irismena asko zabal dezake.

Adibide praktikoak

Kredentzialak esposizioa aplikazioaren iturburu-kodean eta pribilegioak handitzea

Ahultasun horren adibiderik ohikoenetako bat aplikazio bat konfigurazio lehenetsiekin, garapen-fasean erabilitako aplikazio-kodeko pasahitzak edo beharrezkoak baino zabalagoak diren erabiltzailearen baimenekin zabaltzen denean da.

Hori frogatzeko, Zerolynx web laborategia pribilegiorik gabeko erabiltzaile batekin sartzen da, kasu honetan user1 .



Aplikaziora sartzean, erabiltzailearen panelera nola sartu den ikus dezakezu eta erabiltzailearen elementuak baino ez dituzu sarbidea, kasu honetan sortu ez den arren.


Kodea ikuskatzean, ikus dezakezu nola segurtasun-konfigurazio eskasa dela eta, garapen-fasean sortutako iruzkin bat ezabatu ez den, administrazioaren kredentzialak ematen dituena:




Kredentzial hauek orain erabiltzen badira, web aplikaziora Administratzaile pribilegioak dituen erabiltzaile gisa sar daiteke, hurrengo irudietan erakusten den moduan.




Aplikazio-fitxategiaren egituraren erakusketa

Sistemak errore-mezu zehatzak edo konfigurazio-fitxategi lehenetsiak bistaratzen baditu, barne-informazio baliotsua ager daiteke, hala nola software-bertsioak edo fitxategi-bideak, eta horren informazioak sistemak erabiltzen dituen bertsioak ezagutzeko aukera ematen dio erasotzaile bati eta horiei eragiten dieten ahultasun publikoak ustiatu. bertsioak.

Ahultasun hori frogatzeko erabiltzen ari den laborategia onartzen duen zerbitzariaren IP helbidea sartzen bada, Apache orri lehenetsia bistaratuko da konfigurazio oker bat dela eta.


Ibilbidea sartzen bada /ZVulnLabs/, zerbitzaria behar bezala konfiguratu ez denez, fitxategi guztiak erakusten dira, Directory Listing-en aurrean zaurgarria delako, eta horrek direktorioaren egiturari eta aplikazioa osatzen duten fitxategiei buruzko informazioa ematen du:


Karpeta sartzen bada /ZVulnLabs/kargatzeak/ Web aplikaziora igotako fitxategietara zuzenean sar zaitezke, Apache zerbitzariaren bertsioa eskuratzeaz gain.

Eskuragarritasuna konprometitua software ahulena dela eta

Aplikazioen eguneratze eza ere konfigurazio eskasaren ondorioz gertatzen da, erasotzaile batek bere ustiapenak argitaratu dituen ahuleziak erabiltzeko aukera emanez, eta horrek arerioari aplikazioa arriskuan jartzea erraztuko luke.

Hori kontuan hartuta, Apache/2.4.57 (Debian) Server bertsioarentzat ahultasunak bilatzen badira, bertsio honek lotutako ahultasun publikoak dituela baieztatzen da, hala nola CVE-2023-43622:

Ahultasun horri esker, erasotzaileak HTTP konexio bat abiaraz dezake zeroko leiho-tamaina duena, eta horrek arerioari Zerbitzu-ukatzea edo DoS bat egitea ahalbidetuko luke. Horrez gain, ustiapen publiko bat dauka, eta web-zerbitzuaren erabilgarritasuna arriskuan jarri nahi zuen erasotzaile batentzat hutsala izango litzateke ahultasun hori ustiatzea.

Aringarriak

Ahultasun honen arintze gisa, OWASPek honako hau gomendatzen du:
  • Errepikatu daitekeen gogortze-prozesuak azkar eta erraz hedatzea eta behar bezala inplementatzea lortzen du. Garapen, QA eta ekoizpen inguruneak berdin konfiguratu behar dira, bakoitzean kredentzial desberdinak erabiliz.
  • Alferrikako ezaugarri, osagai, dokumentazio eta laginrik gabeko plataforma minimoa.
  • Berrikusi eta eguneratu segurtasun-argitalpen, eguneratze eta adabaki guztien konfigurazio egokiak adabakiak kudeatzeko prozesuaren barruan.
  • Aplikazioen osagaien arteko bereizketa eraginkorra eta segurua eskaintzen duen aplikazio-arkitektura segmentatu baten erabilera.
  • Segurtasun goiburuen ezarpen zuzena.
  • Hartutako neurrien eraginkortasuna bermatzen duten ekoizpenera zabaldu aurretik prozesu automatikoak ezartzea.

Ondorioak

Segurtasun okerreko konfigurazioa ahultasunak aplikazio eta sistemetan segurtasun-hausteen arrazoi nagusietako bat izaten jarraitzen du. Teknologia modernoaren azpiegituren berezko konplexutasunak okerreko konfigurazioa arazo arrunta da, baina saihestu daitekeena. 

Instalazio-prozesu seguruak ezarriz, sistemaren sendotasuna automatizatuz, plataforma minimo bat mantenduz eta adabaki eta eguneratzeen kudeaketa egokia ezarriz, erakundeek nabarmen murriztu dezakete ahultasun honen esposizioa.

Justo Martín, Zibersegurtasun Analista Zerolynx.
Itzuli blogera

Utzi iruzkin bat

Kontuan izan iruzkinak argitaratu aurretik onartu behar direla.