El WAF y las vulnerabilidades

El WAF (Web Application Firewall) es una de las mejores herramientas para proteger una web de tráfico malicioso. Se sitúa entre la web y el posible atacante, por lo que estamos ante una muralla con función preventiva y defensiva. Sus funcionalidades dependen de cómo se implemente y de las reglas que se apliquen pero, al margen de eso, hay que tener claro que es básico contar con un WAF para no tener que lamentar daños en una web que se pueden evitar.

No hay que pensar solo en los peores escenarios a los que puede llevar una vulnerabilidad de seguridad, como el robo de datos y el ransomware. Vulnerabilidades de menor alcance pueden afectar a tu web, tu organización y complicarte también la vida.

Vulnerabilidades en NGINX – LDAP

Esta semana, el servidor web open source NGINX ha confirmado la existencia de vulnerabilidades de seguridad en la implementación de referencia de LDAP. Este escenario es peligroso cuando se usan parámetros por línea de comandos para configurar el daemon de Python, cuando existen parámetros sobreescribibles sin usar en la configuración o cuando la autenticación depende de la pertenencia a un grupo concreto.

Para mitigar estos fallos de seguridad, se pueden llevar a cabo los siguientes cursos de acción. Uno de ellos es la inhibición del paso de cabeceras HTTP en el propio NGINX, que puede realizarse con la siguiente directiva en el fichero de configuración de NGINX: proxy_pass_request_headers off; Otro es el filtrado en el aplicativo de caracteres extraños en los formularios de login, como pueden ser los caracteres especiales con significado en LDAP: guiones , paréntesis ( ) y el signo igual =.

El WAF de Transparent Edge Services

Los clientes de Transparent Edge Services que disponen de nuestro WAF están protegidos frente a las vulnerabilidades confirmadas por NGINX. Pueden estar tranquilos y así se lo ha comunicado nuestro equipo de Sistemas. ¿Por qué? Pues porque nuestro WAF evita los ataques comunes, frenándolos antes de llegar a los orígenes con instalaciones comprometidas de NGINX-LDAP. Se encarga de sanear las peticiones HTTP, examinando las cabeceras y el cuerpo de las requests en busca de payloads maliciosos, y filtrando aquellas peticiones que podrían suponer un peligro para el origen de nuestros clientes antes de que lleguen a este.

A los clientes que no disponen de nuestro WAF, les hemos recomendado implementarlo para protegerse ante estas y otras vulnerabilidades.

Mientras tanto, en Transparent Edge Services seguimos atentos a la liberación de un exploit que aterrice la vulnerabilidad para monitorizar actores maliciosos que intenten usar el mismo.