Las aplicaciones web son las herramientas más utilizadas por las organizaciones alrededor del mundo. Estas ofrecen diversos beneficios para las empresas que van desde la agilización de procesos, la optimización de las comunicaciones y la digitalización de servicios. Sin embargo, las apps web también se han convertido el objetivo #1 para la explotación de vulnerabilidades.
De acuerdo con el reporte de Acunetix “Web Application Vulnerability 2019”, las debilidades de aplicaciones web son la amenaza más crítica en las empresas. Y ante este problema, se precisan nuevos enfoques para la mitigación de vulnerabilidades en la capa de red.
Sin duda, encontrar una estrategia de ciberseguridad adecuada debe ser una tarea prioritaria en el 2019. Para esto, es necesario conocer los riesgos a los que nos enfrentamos.
A continuación, te presentamos las vulnerabilidades más frecuentes según el estudio de Acunetix:
Vulnerabilidades de severidad crítica
Aunque la mayoría de las organizaciones cuenta con herramientas de ciberseguridad, los recursos tradicionales parecen ser ineficaces en entornos web. Por esta razón, se han registrado numerosos incidentes relacionados a vulnerabilidades de alto riesgo.
En cualquier caso, estas debilidades en los sistemas comprometen la integridad de los procesos y los protocolos confidencialidad. Los intrusos que explotan las vulnerabilidades de este tipo pueden irrumpir sin accesos especiales o interacción con el usuario. En este sentido, los ataques de estilo APT son los más comunes.
El 46% de las app web tienen vulnerabilidades críticas
-
Vulnerabilidades de servidor web
Los software de servidor web son propensos a las brechas de seguridad. Estas vulnerabilidades van desde la divulgación de información hasta una vulnerabilidad por desbordamiento de búfer que se puede explotar de forma remota. De esta forma, la brecha de seguridad puede facilitar ataques como la ejecución remota de código.
Los recursos con mayores riesgos son IIS y Apache. Para evitar el desarrollo de ciberataques por estos medios, es necesario parchear hasta las vulnerabilidades más triviales en las aplicaciones.
-
Vulnerabilidades en WordPress
Debido a su uso masivo, WordPress es uno de los blancos principales de los hackers. Según Acunetix, el 30% de los objetivos analizados tenía una o más vulnerabilidades en sus plataformas.
Muchas de las debilidades de WordPress son inherentes a la divulgación de información. Este software disponibiliza datos como la enumeración de nombres de usuario y la autenticación bruteforcing XML-RPC.
En este aspecto, la comunidad de WordPress trabaja con rapidez para subsanar este tipo de brechas de seguridad; por lo que solo basta con actualizar periódicamente la versión de la herramienta.
Por otro lado, la eficacia de estas tácticas de seguridad no se aplica a la red de complementos. En este caso, WordPress permite ampliar las funcionalidades básicas de sus plataformas. Esto hace posible que cualquier usuario genere complementos de cualquier tipo y los distribuya a todo el ecosistema de plugins y temas.
Las vulnerabilidades dentro de los plugins más utilizados pueden ir desde la divulgación de información sensible hasta inyección SQL, y la ejecución remota de código.
-
Bibliotecas JavaScript
Muchas aplicaciones web utilizan de librerías JavaScript antiguas u obsoletas. El 33% de los objetivos analizados dependía de bibliotecas JS con vulnerabilidades XSS conocidas.
De igual forma, las bibliotecas JavaScript vulnerables más frecuentes son las versiones antiguas de jQuery y jQuery UI; así como las versiones antiguas de Moment.JS y de YUI Library.
-
Cross-site scripting (XSS)
Esta vulnerabilidad se clasifica en tres categorías: tored (Persistente) XSSReflected (Persistente) y XSSDOM-based XSS. A diferencia de muchas vulnerabilidades, este problema se origina del lado del cliente por el uso de versiones JS en mal estado.
El 30% de las aplicaciones web son vulnerables a XSS
El objetivo del atacante es hacer que la víctima ejecute inadvertidamente un script inyectado maliciosamente, que se procesa por medio de una aplicación web de confianza. De esta manera, el cibercriminal puede robar datos sensibles a los que el usuario tiene acceso; o incluso modificar el diseño de las aplicaciones para enviar datos sensibles a cualquier destinatario.
Vulnerabilidades de severidad media
Las vulnerabilidades de severidad media predominan en las aplicaciones web. En este nivel, los atacantes necesitan accesos a usuarios privilegiados y deben interactuar con los usuarios para ingresar a los sistemas privados.
Asimismo, se suelen explotar estas vulnerabilidades junto a otros fallos de distinta severidad para intensificar la efectividad del ataque.
El 87% de los sitios web tienen debilidades de nivel medio
-
Cross-site request forgery (CSRF)
El 51% de las aplicaciones son susceptibles a la falsificación de solicitudes en sitios cruzados; o utilizan formularios HTML sin la presencia de un token CSRF.
Con este tipo de vulnerabilidad, los atacantes utilizan los sitios de “confianza” en el navegador de la víctima para obtener información privada. De esta forma, cada vez que un usuario ejecuta una solicitud HTTP a determinada aplicación o website, el navegador reenvía automáticamente al atacante las cookies asociadas.
-
Denegación de servicio (DoS)
El 18% de los objetivos analizados eran vulnerables a DoS; mientras que el 13% eran vulnerables a un tipo específico de denegación de servicio HTTP a nivel de aplicación conocido como denegación de servicio HTTP lenta (también conocido como Slowloris).
En el caso de la DoS para aplicaciones, el atacante puede generar un costoso resultado en la víctima, utilizando menos solicitudes en comparación a otros ataques.
-
Vulnerabilidades TLS/SSL
El TLS tiene una imprescindible para todos los sitios web; sobre todo para los sitios que se ocupan del envío y la recepción de datos confidenciales. Por esto, las configuraciones erróneas de TLS, o el uso de cifrados de TLS antiguos pueden vulnerar la integridad de las empresas a través de ataques como el downgrade.
Si bien las vulnerabilidades de aplicaciones web son una batalla constante para las empresas de cualquier tamaño, la automatización de tareas de ciberseguridad tiene un rol vital en la detección de errores tempranos.
En GB Advisors contamos con herramientas de alta confiabilidad como Acunetix – Escáner de vulnerabilidad web. Contáctanos para reforzar tus sistemas.
