Blog

Jul 07, 2023

Configuración incorrecta de seguridad de API7:2019: el qué, ejemplos de exploits y métodos de prevención

Inicio » Calendario editorial » Seguridad API » Error de configuración de seguridad API7:2019:

Inicio » Calendario editorial » Seguridad API » Error de configuración de seguridad API7:2019: el qué, exploits de muestra y métodos de prevención

Las configuraciones incorrectas de seguridad son riesgos de seguridad muy comunes, no solo en las aplicaciones web sino también en las API. Han sido consistentemente parte de las 10 principales vulnerabilidades de aplicaciones web de OWASP. Formaban parte de los 10 principales riesgos de seguridad de API originales de OWASP publicados en 2019 y ahora han llegado a la lista actualizada de 2023.

La mala configuración de la seguridad mantiene su 7º puesto enOWASP Top 10 API 2023RCdebido a su prevalencia generalizada, fácil explotación y fácil detectabilidad.

¿Qué son exactamente las configuraciones incorrectas de seguridad? ¿Qué los provoca y cómo mitigarlos? Continúa leyendo para averiguarlo.

Las configuraciones incorrectas de seguridad son los errores y descuidos cometidos durante la configuración, implementación o mantenimiento de una API que pueden generar vulnerabilidades de seguridad. Esto sucede cuando los desarrolladores/equipos de TI no han seguido las mejores prácticas de seguridad al implementar y configurar las API.

Las configuraciones incorrectas de seguridad pueden ocurrir debido a que los desarrolladores y los equipos de seguridad de TI no logran fortalecer adecuadamente la superficie de ataque con las configuraciones adecuadas.

Simplemente significa que la configuración de seguridad esencial de la API no se implementó o se realizó incorrectamente, lo que dejó brechas y debilidades peligrosas en la API. Los actores de amenazas pueden explotar estas brechas para orquestar ataques masivos y filtraciones de datos.

Estas configuraciones incorrectas pueden ocurrir en diferentes niveles de la pila de la API, incluido el servidor de la API, la puerta de enlace de la API, la aplicación del cliente, la infraestructura que admite la API, el nivel de la red, el nivel del sistema, el nivel de la aplicación, etc. Casi no existe diferencia en cómo estas configuraciones incorrectas afectan las aplicaciones web y las API.

// API no segura Endpointapp.get('/api/user/:id', (req, res) => {const userId = req.params.id;// Obtener datos de usuario de la base de datos sin autenticación ni autorizaciónUser.findById( ID de usuario, (err, usuario) => {if (err) {return res.status(500).json({ error: 'Error interno del servidor' });}if (!usuario) {return res.status(404) .json({ error: 'Usuario no encontrado' });}// Devolver el usuario datares.json(usuario);});});En este ejemplo, el extremo de la API /api/user/:id está diseñado para recuperar datos de usuario en función de la identificación proporcionada. Sin embargo, no existen verificaciones de autenticación o autorización.

El código obtiene directamente al usuario de la base de datos sin verificar la identidad del usuario ni asegurarse de que tenga los permisos necesarios.

Un atacante que aproveche esta configuración incorrecta podría simplemente enviar una solicitud GET a /api/user/:id con cualquier parámetro de identificación y recuperar los datos del usuario sin la autenticación o autorización adecuada. Esto expone información confidencial del usuario a personas no autorizadas.

La mala configuración del sistema es una vulnerabilidad que puede explotarse, ya sea en API, aplicaciones web, redes, contenedores o plataformas de desarrollo. Si deja las API configuradas de manera incorrecta, inadecuada o insegura, dejará la API expuesta a una amplia gama de riesgos de seguridad.

Las vulnerabilidades de configuración incorrecta de seguridad vienen en todas las formas y tamaños, con diferentes niveles de riesgo. Estos son algunos ejemplos de lo que podría conducir a estas configuraciones incorrectas.

Consulte la lista completa de configuraciones incorrectas de API de nuestroLista de verificación de pruebas de penetración de API.

Aquí hay cinco ejemplos de escenarios de ataques de configuración incorrecta de API y sus posibles implicaciones:

La brecha de Capital One de 2019 es un ejemplo de la vida real de cómo los atacantes explotan las configuraciones incorrectas de seguridad. En el caso de Capital One, los atacantes descubrieron que se estaba utilizando un WAF de código abierto para proteger las aplicaciones y las API de la empresa. Este WAF no se configuró correctamente ni se ajustó adecuadamente a las necesidades y el contexto del entorno de AWS de la empresa. Como resultado, no siguió los principios de confianza cero y privilegio mínimo.

Al ser demasiado permisivos, los atacantes podrían pasar fácilmente por alto el WAF. Los atacantes crearon un script de inyección para apuntar al servicio de metadatos en la nube de AWS. El WAF no pudo inspeccionar el contenido del mensaje ni filtrarlo y permitió que el backend procesara la solicitud de inyección. Ahora, el atacante podría recolectar metadatos a los que no debería haber accedido.

Usando estos metadatos, podrían comprometer otros sistemas dentro del entorno de TI a través de un ataque de falsificación de solicitud del lado del servidor (SSRF). Aquí hay una mirada más cercana aHacks de API e instancias históricas que se encuentran en OWASP Top 10.

Uno de los principales impactos de las configuraciones incorrectas de seguridad es que expone información confidencial y detalles del sistema. La exposición a los detalles y configuraciones del sistema podría llevar a un compromiso total del servidor que puede ser devastador para la organización.

La mala configuración de seguridad es unaLas 10 mejores API de OWASPvulnerabilidad también porque permite a los atacantes orquestar una amplia gama de ataques, como ataques remotos, ataques transversales de directorio, ataques SSRF, ataques de autenticación y autorización, ataques basados ​​en la nube, etc.

La otra razón por la que las configuraciones incorrectas de seguridad son una de las 10 principales vulnerabilidades de la API de OWASP es que las API mal configuradas crean una falsa sensación de seguridad para los desarrolladores y la organización. Por lo tanto, los desarrolladores creen que están a salvo de las amenazas ya que las configuraciones están en su lugar.

Sin embargo, como hemos visto, las configuraciones incorrectas e inadecuadas son peores que no tener ninguna configuración en su lugar. Facilitan que los atacantes cumplan sus órdenes.

Las configuraciones incorrectas de seguridad tienen una puntuación de prevalencia de 3 y unapuntuación de explotabilidad de 3. Esto significa que son vulnerabilidades API muy comunes que también son fácilmente explotables. Con la disponibilidad de herramientas automatizadas, los atacantes pueden encontrar estas configuraciones incorrectas sin problemas y explotarlas.

Una de las razones principales de la alta prevalencia de estas vulnerabilidades son los ciclos de desarrollo acelerados de la actualidad. Dados los plazos imposibles, los desarrolladores no tienen suficiente tiempo para probar y verificar adecuadamente la configuración incorrecta de la seguridad antes de impulsar una funcionalidad API a la producción.

Además, la creciente complejidad de las infraestructuras de TI también ha creado una falta de visibilidad del entorno API completo. Por lo tanto, es común que se olviden las características de la API, los puntos finales y las dependencias.

La seguridad de API es un proceso continuo. Monitoree, evalúe y mejore continuamente las medidas de seguridad en función del panorama de amenazas en evolución, las mejores prácticas de la industria y las lecciones aprendidas de los incidentes de seguridad. Actualice periódicamente sus pautas y documentación de seguridad para reflejar cambios o nuevos conocimientos.

Este método le permite identificar y abordar vulnerabilidades, validar configuraciones y aplicar las mejores prácticas en toda su infraestructura de API. Este enfoque proactivo ayuda a minimizar el riesgo de posibles infracciones de seguridad, acceso no autorizado y fugas de datos.

Además, garantiza que los controles de seguridad se configuren y mantengan correctamente, lo que reduce la probabilidad de configuraciones incorrectas que podrían exponer información confidencial o comprometer la integridad del ecosistema API.

Debe revisar y actualizar regularmente las configuraciones en toda la pila de API (puntos finales de API, redes, aplicaciones de cliente, almacenamiento en la nube, red, etc.). Debe buscar configuraciones predeterminadas, funciones innecesarias, etc., y tomar medidas inmediatas para corregirlas.

Esto debe incluir análisis y pruebas regulares de las API y de toda la infraestructura de TI en busca de brechas y vulnerabilidades. Debe aprovechar las herramientas inteligentes y aumentarlas con pruebas de penetración manuales periódicas realizadas por expertos de confianza. Esto ayudará a detectar debilidades, fallas y lagunas.

Cerrar las brechas de seguridad inmediatamente después de su descubrimiento es el siguiente objetivo. Sin embargo, los desarrolladores de listas cargadas, las prioridades cambiantes y las actualizaciones constantes del código de la aplicación contribuyen con frecuencia a un retraso promedio de 200 días en la reparación de vulnerabilidades.

El parcheo virtual ofrece una alternativa atractiva. Al implementar parches virtuales, puede mejorar de manera efectiva las medidas de seguridad y cerrar la brecha entre el descubrimiento y la reparación de vulnerabilidades.

Otras medidas

Conclusión

Las configuraciones incorrectas de seguridad son vulnerabilidades de API peligrosas, que permiten a los atacantes eludir los mecanismos de seguridad y brindan a las organizaciones una falsa sensación de seguridad. Las organizaciones deben identificar y corregir de manera proactiva estas configuraciones incorrectas para garantizar una sólida seguridad de la API.

Aproveche las soluciones de seguridad centradas en API comoAplicación Trana WAAPpara proteger sus API contra errores de configuración de seguridad y otros riesgos de seguridad.

Estén atentos para actualizaciones de seguridad más relevantes e interesantes. Siga a Indusface en Facebook, Twitter y LinkedIn

La publicación API7:2019 Error de configuración de seguridad: el qué, los exploits de muestra y los métodos de prevención apareció por primera vez en Indusface.

*** Este es un blog sindicado de Security Bloggers Network de Indusface escrito por Indusface. Lea la publicación original en: https://www.indusface.com/blog/owasp-api-2019-security-misconfiguration/