Muchas organizaciones que utilizan servicios de firewall de aplicaciones web (WAF) de proveedores de redes de entrega de contenido (CDN) pueden dejar inadvertidamente sus servidores backend abiertos a ataques directos a través de Internet debido a un error de configuración común.
El problema está tan extendido que afecta a casi el 40% de las empresas Fortune 100 que aprovechan sus proveedores de CDN para servicios WAF, según investigadores de Zafran que estudiaron recientemente la causa y la escala del problema. Entre las organizaciones que los investigadores encontraron vulnerables a los ataques se encontraban marcas reconocibles como Chase, Visa, Intel, Berkshire Hathaway y UnitedHealth.
Problema generalizado
Los WAF actúan como intermediarios entre los usuarios y las aplicaciones web. Inspeccionan el tráfico en busca de una variedad de amenazas y bloquean o filtran cualquier cosa que se considere sospechosa o que coincida con patrones conocidos de actividad maliciosa. Muchas organizaciones han implementado WAF en los últimos años para proteger las aplicaciones web de las vulnerabilidades No tuvieron tiempo de parchar.
Las organizaciones tienen varias opciones para implementar WAF, incluidas las locales en forma de dispositivos físicos o virtuales. También hay WAF basados en la nube y basados en host.
En total, Zafran encontró unos 2.028 dominios pertenecientes a 135 empresas Fortune 1000 que contienen al menos un servidor protegido por WAF al que un atacante podría acceder directamente a través de Internet para lanzar ataques de denegación de servicio (DoS), distribuir ransomware y realizar otras actividades maliciosas.
«La responsabilidad [for] la mala configuración radica principalmente [with] clientes de proveedores CDN/WAF», afirma Ben Seri, CTO de Zafran. Pero los proveedores CDN que ofrecen servicios WAF compartir alguna responsabilidad así como por no ofrecer a los clientes medidas adecuadas para evitar riesgos y por no construir sus redes y servicios para evitar configuraciones erróneas, afirma.
El problema, como explica Seri, es que las organizaciones no validan adecuadamente las solicitudes web a los servidores de origen backend que alojan el contenido, las aplicaciones o los datos reales a los que los usuarios intentan acceder.
Un fracaso en seguir las mejores prácticas
Con un servicio WAF integrado en CDN, el proveedor de CDN, como Cloudflare o Akamai, proporciona el WAF como parte de su infraestructura perimetral. Todo el tráfico entrante a las aplicaciones web de una organización se enruta a través del WAF de la CDN, un servidor proxy inverso dentro de la red perimetral del proveedor. El proxy inverso identifica a qué servidor o recurso backend está destinada una solicitud web en particular y luego la enruta allí de forma cifrada. «Esto significa que cuando un servicio CDN se utiliza como WAF, la aplicación web que protege está abierta al tráfico de Internet y debe validar que solo responde al tráfico web que se origina desde y a través del servicio CDN», según Zafran. publicación de blog.
Si el cliente utiliza las mejores prácticas, la dirección IP del servidor back-end es algo que solo el cliente y el proveedor de CDN conocen. Los proveedores de CDN también recomiendan que las organizaciones agreguen mecanismos de filtrado de IP para garantizar que solo las solicitudes que se originan en el rango de direcciones IP del proveedor de CDN puedan acceder a los servidores backend. Otras recomendaciones incluyen el uso de secretos digitales precompartidos conocidos sólo por el proveedor de CDN y el servidor backend como mecanismo de validación, y el uso de la llamada autenticación TLS mutua para validar tanto el servidor de origen como el servidor proxy del proveedor de CDN.
Estas medidas son efectivas para proteger los servidores back-end cuando se implementan correctamente. Pero lo que Zafran descubrió es que muchas organizaciones no han adoptado ninguna de estas precauciones de validación recomendadas, dejando los servidores backend directamente accesibles a través de Internet. «Es una falta de validación en las aplicaciones web diseñadas para estar protegidas por un CDN/WAF que las deja abiertas a todo el tráfico de Internet», explica Seri. «Es como tener un depósito S3 privado abierto a Internet como un depósito público. Sólo que en este caso, son las aplicaciones web protegidas las que permanecen abiertas a Internet, en lugar de permitir únicamente el tráfico entrante desde el proveedor de CDN».
Fácil de encontrar
Según los investigadores de Zafran, la situación empeora por el hecho de que las direcciones IP de los servicios originales de las empresas no son tan privadas como muchos piensan. El proveedor de seguridad citó los registros de Transparencia de Certificados (CT) como ejemplo de un lugar relativamente fácil para que atacantes e investigadores descubran todos los dominios que pertenecen a una organización específica. registros de TC proporcionar un registro de acceso público de todos los certificados SSL/TLS que las autoridades certificadoras emiten a los operadores de sitios web y apuntar a mejorar la confianza y la responsabilidad en torno a la emisión de certificados. Desafortunadamente, también proporcionan un punto de partida para que los atacantes recopilen información detallada sobre todos los dominios y subdominios propiedad de una organización, incluidos aquellos asociados con servidores y servicios backend críticos.
«Resultó que el problema estaba muy extendido», afirma Seri. “De una muestra aleatoria de servidores de Internet diseñados para estar protegidos por Cloudflare, el 13% sufre esta mala configuración. Esto significa que, potencialmente, el 13% de todos los dominios protegidos por Cloudflare pueden ser atacados directamente. Desafortunadamente, los proveedores de CDN/WAF necesitan la cooperación de sus clientes, quienes controlan sus propios balanceadores de carga y aplicaciones web, para mitigar esta amenaza, añade. Zafran se está poniendo en contacto con las empresas afectadas, así como con los proveedores de CDN/WAF afectados, para ayudarlos a identificar rápidamente el alcance total de este error de configuración y remediarlo, afirma Seri.
