El Server-side Request Forgery (SSRF) es una vulnerabilidad crítica que puede tener un impacto devastador en la seguridad de una organización. Este riesgo permite a un atacante forzar a un servidor web a realizar solicitudes malintencionadas. La amenaza se incrementa cuando el atacante logra dirigir una solicitud al panel administrador de un servicio interno, eludiendo firewalls robustos y accediendo a recursos internos críticos como bases de datos, registros de claves o servicios de facturación.
¿Cómo se explota una vulnerabilidad SSRF?
Identificar y explotar una vulnerabilidad SSRF puede ser un reto. A menudo, un atacante realizará un reconocimiento minucioso de un portal web para identificar posibles puntos de acceso. Para ilustrar, supongamos que detectan una petición que permite acceder a un recurso privado dentro del mismo segmento de red del servidor web. ¿Qué harían entonces?
Inspeccionar recursos internos y externos: El atacante puede aprovechar para realizar fetch de información de otros recursos.
Manipulación de peticiones: Al editar una petición para incluir un Author ID específico y obtener respuestas de un servicio externo como doomygson.com, un atacante puede confirmar la vulnerabilidad.
Ejecución remota de comandos: Con la vulnerabilidad abierta, se puede enviar peticiones a servicios como ifconfig.me, que al ejecutarse, devuelven información como la dirección IP del servidor, mostrando la posibilidad de usar la aplicación como relay o proxy.
¿Cómo protegerse de una vulnerabilidad SSRF?
No todo está perdido. Existen medidas que se pueden implementar para mitigar el riesgo de SSRF:
Definir una Allow List: Es crucial para las aplicaciones web contar con una lista blanca que restrinja las direcciones a las cuales el servidor puede realizar peticiones. Esto ayuda a filtrar solicitudes indeseadas o maliciosas.
// Definición de una Allow List en JavaScriptconst allowedHosts =['doomygson.com'];fetch(url).then(response=>{if(!allowedHosts.includes(newURL(url).hostname)){thrownewError('Host no permitido');}return response;});
Segmentación de redes: Asegura que si un equipo del segmento privado es comprometido, el ataque no se extienda a más activos de información.
Validación y auditoría: Valida consistentemente cualquier entrada de datos y realiza auditorías periódicas para asegurar que las políticas de seguridad se mantienen robustas y actualizadas.
Importancia de la educación continua en ciberseguridad
El mundo de la ciberseguridad está repleto de retos y siempre está en evolución. Es esencial que te mantengas en constante aprendizaje, explorando nuevas estrategias de protección y herramientas que te ayuden en la defensa de tus sistemas. La práctica constante y el uso de aplicaciones vulnerables para simulación y entrenamiento son partes fundamentales del proceso educativo. Y recuerda, ¡nunca pares de aprender!
En un ataque SSRF, el atacante envía una solicitud maliciosa a una aplicación web que, a su vez, causa que el servidor de la aplicación realice una solicitud a un recurso específico ubicado dentro de la propia infraestructura del servidor o en una tercera ubicación (como servicios internos de la red, APIs, o el internet público). Los ataques SSRF generalmente explotan vulnerabilidades en la forma en que la aplicación web procesa las URL suministradas por el usuario.
Ejemplo de Ataque SSRF
Solicitud Maliciosa: Un atacante envía una solicitud a una aplicación web vulnerable que incluye una URL manipulada.
Solicitud del Servidor: La aplicación web, sin validar adecuadamente la URL suministrada, realiza una solicitud a la URL especificada por el atacante.
Acceso a Recursos Restringidos: La URL lleva al servidor a acceder a un recurso interno que debería estar inaccesible desde el exterior, permitiendo al atacante obtener datos sensibles o explotar servicios internos.
Mitigación del SSRF
Para mitigar el riesgo de ataques SSRF, las organizaciones pueden adoptar varias medidas, incluyendo:
Validación Rigurosa de Entrada: Asegurar que todas las entradas proporcionadas por el usuario (como URLs) sean validadas rigurosamente para rechazar cualquier solicitud maliciosa.
Limitación de Solicitudes: Restringir las solicitudes del servidor a un conjunto limitado de destinos confiables para evitar que el servidor acceda a URLs arbitrarias.
Uso de Listas de Permitidos (Whitelisting): Implementar listas de permitidos para controlar a qué recursos puede acceder el servidor, limitando las solicitudes solo a destinos conocidos y seguros.
Segregación de la Red: Diseñar la arquitectura de la red de manera que los sistemas críticos estén segregados y no sean accesibles directamente desde aplicaciones web vulnerables a SSRF.
Monitoreo y Registro de Actividades: Monitorear y registrar todas las solicitudes salientes del servidor para detectar y responder rápidamente a cualquier actividad sospechosa que pueda indicar un ataque SSRF.
Nice
Nice.
Características del Diseño Inseguro
Falta de consideraciones de seguridad desde el inicio: No incorporar requisitos de seguridad en las fases iniciales de diseño y planificación.
Ausencia de principios de diseño seguro: No seguir principios de diseño seguro, como el principio de menor privilegio, la segmentación de redes, y la defensa en profundidad.
Inadecuada gestión de riesgos: No identificar, evaluar y mitigar los riesgos de seguridad de manera efectiva durante el proceso de diseño.
Cómo Mitigar el Diseño Inseguro
Adopción de Principios de Diseño Seguro: Implementar principios de diseño seguro desde las primeras etapas de desarrollo, asegurando que las consideraciones de seguridad sean una parte integral del proceso de diseño.
Educación y Concienciación: Capacitar a los equipos de diseño y desarrollo en prácticas de diseño seguro y concienciar sobre la importancia de la seguridad en el desarrollo de software.
Evaluación de Riesgos de Seguridad: Realizar evaluaciones de riesgo de seguridad como parte del proceso de diseño para identificar y mitigar posibles vulnerabilidades antes de que el software se desarrolle.
Uso de Patrones de Diseño Seguro: Aplicar patrones de diseño seguro que han demostrado ser efectivos en la prevención de vulnerabilidades de seguridad.
Revisión de Diseño de Seguridad: Incluir revisiones de seguridad en las fases de diseño para evaluar y mejorar la arquitectura de seguridad de las aplicaciones.
Server-Side Request Forgery
Cuando se permite al atacante forzar a un servidor a realizar solicitudes de red maliciosas
Ejemplo
Teniendo acceso a la consola de administración de algún servicio poder saltarse el firewall y entra a la intranet de la empresa.
Impacto
Compromiso de servicios internos
Ejecución remota de código (RCE)
Controles
Utilizar Allowlist de URLs
Segmentación de redes
una pregunta , en esta ocasion yo como pentest podria clasificar el pivoting dentro de esta categoria de OWASP????
no porque el pivoting es cuando comprometes un asset y desde éste saltas a otro
