WAF: la defensa de las aplicaciones web y sus datos
El Firewall de Aplicaciones Web (WAF) es la primera y última línea de defensa de las aplicaciones frente a las amenazas online.
Las aplicaciones web se han convertido en el esqueleto del negocio en casi todos los segmentos de la economía. Conectan a los empleados, clientes y socios a la información que necesitan en cualquier lugar y en cualquier momento. Aunque se han reducido los costes de acceso a esa información y se ha acelerado drásticamente el ritmo de los negocios, también han aumentado los riesgos: robos de identidad, fugas de datos, malware, ataques de denegación de solicitud de servicio (DoS) y botnets maliciosos impactan cada vez más a las aplicaciones web, con consecuencias que afectan a la marca, los ingresos y el cumplimiento de las normas.
Las investigaciones realizadas por el Centro de Aplicación de Defensas de Imperva han encontrado que casi el 92% de las aplicaciones web son susceptibles a algún tipo de ataque, y el 57% son vulnerables al robo de información. Adicionalmente, las aplicaciones web cambian con frecuencia y nuevas vulnerabilidades se introducen en esas actualizaciones. Además, las actualizaciones de aplicaciones inadvertidas pueden romper los parches creados para arreglar los agujeros de seguridad, y volver a exponer vulnerabilidades antiguas.
Por desgracia, actualmente el gasto en seguridad de datos se centra en las redes empresariales, dejando puntos débiles en las base de datos y aplicaciones que pueden ser explotadas por los ciberdelincuentes. En 2009, las 10 mayores fugas de datos revelan que el 74% de las pérdidas de datos provenían de las violaciones de bases de datos, el 19% de brechas en la aplicación y el 7% de brechas de la red. Sin embargo,más del 90% de los 16.000 millones de dólares invertidos en seguridad en 2009 se destinaron a las redes.
Añádase a esto la confusión actual entre las organizaciones en cuanto al tipo de herramientas de seguridad necesarias para hacer frente al problema, con muchas confiando en cortafuegos de red tradicionales y sistemas de prevención de intrusiones (IPS). En un reciente informe de Frost & Sullivan, el 55% considera que tener un firewall de red potente es suficiente para compensar la falta de un firewall de aplicaciones web (WAF). Un 48,3% consideró que un WAF sólo es necesario si una empresa quiere ser compatible con PCI-DSS.
Sin embargo, regulaciones como el Payment Card Industry Data Security Standard (PCI DSS) ahora ordenan la protección de la capa de aplicaciones. Las empresas que procesan, almacenan o transfieren datos de tarjetas de crédito deben instalar un WAF o someterse a exámenes de la aplicación anualmente y después de cada cambio de la aplicación. Nótese que que no existe obligación de IPS.
Adobe parchea fallos Día Cero para Acrobat y Reader
A primeros de diciembre Adobe lanzó un boletín de seguridad relativo a ataques Día Cero contra archivos PDF que aprovechaban fallos en sus programas Reader y Acrobat, y que permitían a un hacker forzar el programa y tomar el control del sistema.
Inicialmente el fallo se encontró en las versiones 9.4.6 y X (10.1.1) de Reader y Acrobat para todas las plataformas, aunque más tarde pareció afectar también a Adobe Flash Player.
A pesar de afectar a múltiples plataformas y versiones de software, Adobe aseguró que el fallo sólo se podía explotar activamente en las versiones para Windows de Acrobat y Reader, y ya que las versiones 10.1.1 del software incorporaban opciones de seguridad mejoradas que hacían fracasar el exploit, Adobe sólo se centró en actualizar las versiones 9.4.2 de Reader y Acrobat para Windows.
Ya entonces Adobe anunció que solucionaría el fallo para las otras versiones de su software a partir del 10 de enero de 2012, y eso es precisamente lo que está ocurriendo ahora.
Hasta que puedas acceder a las actualizaciones, los usuarios que estén utilizando Acrobat X o Reader X (versiones X o superiores) pueden estar más seguros mejorando las opciones de seguridad en las preferencias del programa.
Boletín de Microsoft corrige cuatro vulnerabilidades de .NET Framework
Microsoft publicó un último boletín de seguridad antes de acabar el año. El aviso MS11-100, publicado el jueves 29 de diciembre, se aparta de la norma de publicación de boletines de seguridad los segundos martes de cada mes a la que acostumbra esta compañía. Esto es debido al carácter crítico de las vulnerabilidades y a que una de ellas se ha divulgado públicamente.
En total el boletín corrige cuatro vulnerabilidades que afectan a .NET Framework en todas sus versiones. A continuación se exponen dichas vulnerabilidades ordenadas por sus identificadores CVE.
- CVE-2011-3414: Se trata de la vulnerabilidad ya comentada en relación con la forma en que ASP.NET Framework trata peticiones específicamente construidas, que puede causar colisiones hash, y con ello un incremento del consumo de los recursos del sistema. Esto podría ser utilizado por un atacante remoto para provocar condiciones de denegación de servicio.
- CVE-2011-3415: Existe un fallo en la comprobación de las direcciones URL de retorno durante el proceso de autenticación de formularios en .NET Framework. Un atacante remoto podía aprovechar esta vulnerabilidad para revelar información sensible al redirigir a un usuario a un sitio web diferente sin el conocimiento de este, a través de un enlace especialmente manipulado.
- CVE-2011-3416: Un fallo en la forma en que .NET Framework autentica a los usuarios podría ser utilizado por un atacante remoto para elevar privilegios a través de una petición web especialmente manipulada. Para aprovechar esta vulnerabilidad, el atacante debe registrar una cuenta en la aplicación ASP.NET, y conocer el nombre de la cuenta de usuario a la que pretende acceder.
-
CVE-2011-3417: Una última vulnerabilidad en la forma en que ASP.NET maneja el contenido almacenado en caché cuando se utiliza la autenticación de formularios con pérdida de deslizamiento activada. Esto podría ser aprovechado por un atacante remoto para elevar privilegios a través de un enlace especialmente manipulado.
