Reportes mencionan que el Web Application Firewall (WAF) desarrollado por Cloudflare es vulnerable a ataques de omisión de reglas. Las webs que se encuentran protegidas con WAF bloquean los ataques basados en vulnerabilidades de denegación de servicios (DoS) o scritps entre sitios (XSS). Por esa razón, esta falla podría representar un riesgo importante.
El investigador de ciberseguridad, Jackson Henry, compartió un procedimiento para crear una etiqueta HTML SVG con el fin de activar una prueba de concepto (PoC) para una falla XSS en sitios web protegidos con Cloudflare WAF. A pesar de que la carga útil mostrada en la PoC es equivalente a <svg onload = alert (“1”)>, adicionando algunos caracteres codificados hace que la carga útil pueda esquivar los mecanismos de protección.
Henry indica que este método de ataque XSS en particular se conoce públicamente desde al menos el 4 de junio de 2019. Esta clase de ataques aparentemente son cada vez más comunes, siendo posible incluso buscar en Internet tácticas con cierta similitud.
Otras fallas podrían llegar a generar un daño aún mayor como las inyecciones SQL, ejecución remota de código o errores de deserialización. Los administradores de sistemas deben tener en consideración que Cloudflare ofrece medidas de protección complementarias, por lo que una carga útil capaz de esquivar WAF no garantiza el éxito de un ataque. Si el código de backend del sitio web objetivo cuenta con las medidas de seguridad correctas, es poco probable que el atacante logre sus objetivos.
En base a esta investigación, el experto mencionó que ninguna organización debería depender solamente de herramientas como WAF para proteger sus sistemas. Los mecanismos de protección contra ataques XSS, SQL y otros deberán implementarse junto con el WAF que elijan.
Además, Henry señala que establecer configuraciones altamente restrictivas en el WAF podría generar falsos positivos. Esta situación es poco deseable en las operaciones de cualquier empresa.
Finalmente, representante de Cloudflare señala que valoran cualquier reporte de esta naturaleza, ya que les ayuda a mejorar sus capacidades. Si bien esta clase de omisiones no se consideran vulnerabilidades, conocer su comportamiento puede ayudar a bloquear potenciales ataques a futuro.
Fuente: Noticias de Seguridad Informática
Para más información ingresar aquí.
Comentarios