No todas las vulnerabilidad de seguridad tienen un alto riesgo por sí solo, pero en manos de un atacante avanzado, incluso pequeñas debilidades pueden aumentar en grandes infracciones. Estas cinco vulnerabilidades reales, descubiertas por el equipo de caza de errores de Intruder, revelan cómo los atacantes se convierten en fallas en los incidentes de seguridad graves.
1. Robando credenciales de AWS con una redirección
La falsificación de solicitudes del lado del servidor (SSRF) es una vulnerabilidad común que puede tener un impacto significativo, especialmente en aplicaciones alojadas en la nube. Si una aplicación web obtiene recursos de URL proporcionadas por el usuario, se debe tener cuidado para garantizar que los atacantes no puedan manipular las solicitudes para acceder a recursos no deseados.
Mientras evaluaba una aplicación para mover el hogar en AWS, nuestro equipo probó técnicas de derivación SSRF comunes.
La cadena de ataque fue la siguiente: la aplicación envió una solicitud de webhook al servidor web del atacante, que respondió con una redirección 302 al servicio de metadatos de AWS. La aplicación siguió la redirección y registró la respuesta, que expuso metadatos sensibles, incluidas las credenciales de AWS.
Con estas credenciales, un atacante podría enumerar los permisos de IAM e intentar girar más profundamente en el entorno de la nube.
Este ataque no hubiera sido posible si el servicio de metadatos estuviera haciendo cumplir IMDSV2, una mejor práctica que habría marcado un buen escáner de seguridad en la nube. Si bien las herramientas automatizadas podrían no haber detectado la cadena de ataque completo, romper solo esta parte de la cadena podría haber evitado la explotación.
2. Desde el repositorio .Git expuesto al acceso completo a la base de datos
Mientras investigaba un repositorio .GIT involuntariamente expuesto marcado por un escaneo de vulnerabilidad, nuestro equipo descubrió que pertenecía a una aplicación web de acceso público.
Al revisar el código fuente de la aplicación, descubrimos un bypass de autenticación: se podría acceder a la página de inicio de sesión proporcionando un parámetro oculto.
Nuestro equipo obtuvo acceso a una herramienta de gestión, donde un análisis posterior reveló una vulnerabilidad de inyección SQL ciega en una página autenticada.
Explotando esta vulnerabilidad otorgó acceso a la base de datos de una universidad, que, si un atacante aprovecha, podría haber expuesto información personal confidencial de los estudiantes y el personal, que muestra cómo una pequeña configuración errónea puede aumentar rápidamente a un riesgo de seguridad importante.
3. Cómo un pequeño detalle condujo a la ejecución de código remoto
Mientras buscaba errores en una aplicación de firma de documentos, nuestro equipo notó que, después de firmar un PDF, los metadatos enumeraron «ExifTool» como creador de documentos. Dada la historia de vulnerabilidades críticas de Exiftool, cavamos más profundo.
Aunque la aplicación no reveló la versión de la herramienta, las pruebas de vulnerabilidades conocidas recientes confirmaron que era vulnerable a CVE-2021-22204. Al crear y cargar un PDF malicioso, nuestro equipo obtuvo con éxito la ejecución de comandos remotos como usuario de datos www.
Este punto de apoyo podría haber permitido que un atacante aproveche vulnerabilidades adicionales en el servidor afectado, lo que les permite obtener acceso a la raíz y un pivote a otras máquinas en la red, causando daños extensos.
4. Desde el autoxss hasta la adquisición de la cuenta en todo el sitio
La secuencia de comandos entre sitios (XSS) es un poderoso vector de ataque para ataques de secuestro de sesión, especialmente cuando no se requiere interacción de usuario. Si bien una vulnerabilidad de ‘AutoXSS’ suele ser de bajo riesgo, puede volverse peligroso cuando se combina con otra vulnerabilidad.
Nuestro equipo descubrió este escenario exacto al evaluar una aplicación de subasta. Se descubrió una vulnerabilidad de AutoXSS cuando se reflejó un encabezado de solicitud HTTP suministrado por el usuario en la respuesta de la aplicación.
Normalmente, esto sería inofensivo ya que un atacante no puede obligar al navegador de una víctima a enviar un encabezado malicioso, pero las pruebas adicionales descubrieron una vulnerabilidad de recolección de caché.
Al encadenar estas dos debilidades, nuestro equipo engañó a la aplicación para almacenar en caché y servir la carga útil de AutoXSS a todos los visitantes del sitio, escalándola a un ataque XSS persistente en todo el sitio.
Esto habría permitido a un atacante secuestrar cualquier cuenta de usuario, incluidas las cuentas de administración.
5. Cambiar un número para exponer datos confidenciales
Las debilidades de API son más comunes de lo que piensas. Entre ellos, las vulnerabilidades de IDOR requieren poco esfuerzo para explotar más allá de modificar un identificador en una solicitud.
El verdadero desafío para un atacante no es la ejecución, sino el descubrimiento: encontrar un punto final vulnerable que se pueda usar sin la autenticación o autorización adecuada, y reconociendo que expone datos confidenciales. Una vez encontrado, la explotación puede ser tan simple como cambiar el identificador a un recurso que el usuario no posee, o simplemente hacer una solicitud a un punto final que debe reservarse para los administradores.
Nuestro equipo frecuentemente identifica IDOR, falta de autenticación y debilidades de autorización rotas en API. Aquí hay algunos fragmentos de solicitudes y rutas HTTP reales que encontramos que los datos altamente sensibles expuestos:
- Get /organizations /edit_user? User_id = 1001: El atacante podría modificar los perfiles de usuario y las cuentas de secuestro
- Get /prod-applicantresumes/12031.pdf: El atacante podría acceder a los CVS de los solicitantes de empleo.
- Publicar /orden /descargar, ordenno = 10202: El atacante podría acceder a la información del pedido del cliente.
Estos ejemplos son casi tan simples como las debilidades de API, pero las consecuencias son de gran alcance. Simplemente cambiando un número y enumerando a través de miles de valores, se pueden descargar bases de datos completas de información perteneciente a otros clientes.
Detener las violaciones antes de que comiencen
Estos ejemplos del mundo real muestran cómo las vulnerabilidades pueden convertirse en infracciones graves cuando no se controlan. Los atacantes no esperan, siempre están buscando nuevos puntos de entrada. ¿El primer paso para mantenerse a la vanguardia? Saber a qué pueden acceder a los atacantes desde Internet, incluidos los activos que quizás ni siquiera sepa que existen. Intruder descubre continuamente estas incógnitas, como subdominios, inicios de sesión y API, y las escanea para exposiciones que se pierden otras soluciones.
 |
| Pestaña Descubrimiento del intruso: para esos activos que usted (o tal vez no sabía) existió |
Desde aplicaciones hasta infraestructura en la nube, busquelo y asegure todo en una plataforma potente con intruso. Obtenga más información o comience a escanear con una prueba gratuita de 14 días.