El WAF y las vulnerabilidades

El WAF (web application firewall) es una de las mejores herramientas para proteger una web de tráfico malicioso. Se sitúa entre la web y el posible atacante, por lo que estamos ante una muralla con función preventiva y defensiva. Sus funcionalidades dependen de cómo se implemente y de las reglas que se apliquen pero, al margen de eso, hay que tener claro que es básico contar con un WAF para no tener que lamentar daños en una web que se pueden evitar. 

No hay que pensar solo en los peores escenarios a los que puede llevar una vulnerabilidad de seguridad, como el robo de datos y el ransomware. Vulnerabilidades de menor alcance pueden afectar a tu web, tu organización y complicarte también la vida.

Vulnerabilidades en NGINX – LDAP

Esta semana, el servidor web open source NGINX ha confirmado la existencia de vulnerabilidades de seguridad en la implementación de referencia de LDAP. Este escenario es peligroso cuando se usan parámetros por línea de comandos para configurar el daemon de Python, cuando existen parámetros sobrescribidles sin usar en la configuración o cuando la autenticación depende de la pertenencia a un grupo concreto.

WAF: seguridad contra ataques web

Para mitigar estos fallos de seguridad, se pueden llevar a cabo diferentes cursos de acción. Uno de ellos es la inhibición del paso de cabeceras HTTP en el propio NGINX, que puede realizarse con la siguiente directiva en el fichero de configuración de NGINX: proxy_pass_request_headers off; Otro es el filtrado en el aplicativo de caracteres extraños en los formularios de login, como pueden ser los caracteres especiales con significado en LDAP: guiones –, paréntesis ( ) y el signo igual =.

Diferencias entre el WAF y firewall

El WAF y firewall se utilizan para proteger las webs y pueden ser complementarios, ya que cada uno es capaz de cubrir ciertas vulnerabilidades. Mientras que el firewall estándar impide la entrada de tráfico no autorizado a redes privadas y protege, por tanto, el tráfico a servidores, el WAF filtra y bloquea el tráfico que va hacia y desde una aplicación web.

El WAF, además, monitorea de forma proactiva las vulnerabilidades de las aplicaciones web, observa las debilidades de la red y parchea estos puntos débiles para poder mitigar el problema a corto plazo y establecer soluciones a largo plazo.

El WAF de Transparent Edge

Los clientes de Transparent Edge  que disponen de nuestro WAF están protegidos frente a las vulnerabilidades confirmadas por NGINX. Pueden estar tranquilos y así se lo ha comunicado nuestro equipo de Sistemas. ¿Por qué? Pues porque nuestro WAF evita los ataques comunes, frenándolos antes de llegar a los orígenes con instalaciones comprometidas de NGINX-LDAP. Se encarga de sanear las peticiones HTTP, examinando las cabeceras y el cuerpo de las requests en busca de payloads maliciosos, y filtrando aquellas peticiones que podrían suponer un peligro para el origen de nuestros clientes antes de que lleguen a este.

A los clientes que no disponen de nuestro WAF, les hemos recomendado implementarlo para protegerse ante estas y otras vulnerabilidades. 

Mientras tanto, en Transparent Edge seguimos atentos a la liberación de un exploit que aterrice la vulnerabilidad para monitorizar actores maliciosos que intenten usar el mismo.