¿Realmente confía en su cadena de suministro de aplicaciones web?

20 de septiembre de 2023Las noticias de los piratas informáticosSeguridad de aplicaciones web

Bueno, no deberías. Es posible que ya esté ocultando vulnerabilidades.

Es la naturaleza modular de las aplicaciones web modernas lo que las ha hecho tan efectivas. Pueden recurrir a docenas de componentes web de terceros, marcos JS y herramientas de código abierto para ofrecer todas las diferentes funcionalidades que mantienen contentos a sus clientes, pero esta cadena de dependencias también es lo que los hace tan vulnerables.

Muchos de esos componentes de la cadena de suministro de aplicaciones web están controlados por un tercero: la empresa que los creó. Esto significa que no importa cuán riguroso haya sido con su propio análisis de código estático, revisiones de código, pruebas de penetración y otros procesos SSDLC, la mayor parte de la seguridad de su cadena de suministro está en manos de quien construyó sus componentes de terceros.

Con su enorme potencial para encontrar puntos débiles y su uso generalizado en las lucrativas industrias del comercio electrónico, las finanzas y la medicina, las cadenas de suministro de aplicaciones web presentan un objetivo jugoso para los ciberatacantes. Pueden apuntar a cualquiera de las docenas de componentes en los que confían sus usuarios para infiltrarse en sus organizaciones y comprometer sus productos. El software, las bibliotecas de terceros e incluso los dispositivos IoT son atacados habitualmente porque ofrecen una forma de obtener acceso privilegiado a los sistemas sin ser detectados. Desde allí, los atacantes pueden emitir carro mágico y ataques de skimming web, ransomware, cometer espionaje comercial y político, usar sus sistemas para minería criptográfica o incluso simplemente destrozarlos.

El ataque de los vientos solares

En diciembre de 2020, un ataque a la cadena de suministro Se descubrió un proyecto que eclipsa a muchos otros en términos de escala y sofisticación. Su objetivo era una plataforma de monitoreo de redes y aplicaciones llamada Orion, fabricada por una empresa llamada SolarWinds. Los atacantes se habían infiltrado de forma encubierta en su infraestructura y utilizaron sus privilegios de acceso para crear y distribuir actualizaciones explosivas a los 18.000 usuarios de Orion.

Cuando esos clientes instalaron las actualizaciones comprometidas de SolarWinds, los atacantes obtuvieron acceso a sus sistemas y tuvieron libertad dentro de ellos durante semanas. Las agencias del gobierno estadounidense se vieron comprometidas, lo que provocó investigaciones que apuntaron hacia una operación estatal rusa.

Este devastador ataque a la cadena de suministro también puede ocurrir en entornos web y enfatiza la necesidad de una solución de seguridad web integral y proactiva que supervise continuamente sus activos web.

Las herramientas de seguridad estándar son superadas en maniobras

Los procesos de seguridad estándar no ayudaron con SolarWinds y no pueden monitorear toda su cadena de suministro. Hay muchas áreas de riesgo potenciales que simplemente pasarán por alto, como por ejemplo:

Normas de privacidad y seguridad.: Si uno de sus proveedores externos lanza una nueva versión que no cumple con las normas de seguridad y privacidad, las herramientas de seguridad tradicionales no aceptarán este cambio.
Rastreadores y píxeles: De manera similar, si su administrador de etiquetas de alguna manera se configura mal, puede recopilar inadvertidamente información de identificación personal, exponiéndolo a posibles (¡enormes!) sanciones y demandas.
Servidores externos: Si el servidor externo que aloja su marco JS es pirateado, no recibirá ninguna alerta.
Vulnerabilidades de preproducción: Si aparece una nueva vulnerabilidad una vez que haya entrado en producción, es posible que no pueda mitigarla.

En estas y muchas otras situaciones, las herramientas de seguridad estándar se quedarán cortas.

La vulnerabilidad de Log4j

Otra de esas situaciones surgió cuando se descubrió una vulnerabilidad de día cero en el ampliamente utilizado Utilidad de registro basada en Java Log4j. Millones de computadoras propiedad de empresas, organizaciones e individuos de todo el mundo utilizan Log4j en sus servicios en línea. Se lanzó un parche tres días después de que se descubriera la vulnerabilidad en 2021, pero en palabras de Sofos Sean Gallagher, investigador senior de amenazas:

«Honestamente, la mayor amenaza aquí es que la gente ya ha obtenido acceso y simplemente está sentada, e incluso si se soluciona el problema, alguien ya está en la red… Estará disponible mientras exista Internet».

La vulnerabilidad permite a los piratas informáticos tomar el control de dispositivos que son susceptibles al explotar a través de Java. Nuevamente, pueden usar estos dispositivos para actividades ilegales como minería de criptomonedas, creación de botnets, envío de spam, establecimiento de puertas traseras, Magecart y lanzamiento de ataques de ransomware.

Después de su divulgación, Check Point informó de millones de ataques iniciados por piratas informáticos, y algunos investigadores observaron una tasa de más de 100 ataques por minuto e intentos de ataque en más del 40% de las redes empresariales de todo el mundo.

Dado que la cadena de suministro de su aplicación web ya podría haberse visto comprometida a través de la vulnerabilidad Log4J, la necesidad de una solución proactiva de monitoreo continuo se vuelve aún más urgente.

Una de estas soluciones es una empresa de seguridad web llamada Reflectiz. Su plataforma detectó en una fase temprana la vulnerabilidad Log4J en el dominio Bing de Microsoft, que parchearon rápidamente. Luego, Reflectiz escaneó de forma proactiva miles de sitios web y servicios para identificar otras vulnerabilidades de Log4J. Se encontró una vulnerabilidad significativa en el componente UET de Microsoft, que afecta a millones de usuarios en varias plataformas. Reflectiz notificó y colaboró con clientes y prospectos para mitigar los riesgos, adhiriéndose a procedimientos de divulgación responsable al informar a Microsoft y compartir sus hallazgos. Destacan la naturaleza continua del evento Log4J y abogan por que las organizaciones protejan sus sitios web abordando las vulnerabilidades de terceros.

Protegiendo la cadena de suministro de su aplicación web

La interacción de sus componentes web internos y de terceros en su cadena de suministro de aplicaciones web crea un entorno dinámico que está en constante cambio. Un entorno en constante cambio requiere una solución de monitoreo continuo que le alerte sobre comportamientos sospechosos en cada elemento de su cadena de suministro de aplicaciones web. A través de un riguroso monitoreo continuo, los equipos de seguridad pueden:

identificar todos los activos web existentes y detectar Vulnerabilidades en la cadena de suministro web y componentes de código abierto.
Monitor Configuraciones de aplicaciones web y ajustes de códigos de terceros.
Ver visibilidad total del riesgo de vulnerabilidades y problemas de cumplimiento
Monitor Acceso de componentes web a datos confidenciales.
Validar comportamientos de terceros

¿Encontró interesante este artículo? Siga con nosotros Gorjeo y LinkedIn para leer más contenido exclusivo que publicamos.

ttn-es-57

¿Qué le espera a Givenchy bajo la dirección creativa de Sarah Burton?

Incendio anterior en la casa de Grootebroek: "el estaba maldiciendo"

John Cale de gira 2025

Cuatro funciones ocultas del iPhone 16 que Apple mantuvo en secreto, incluido un Wi-Fi más rápido y un truco de cámara que los usuarios han estado pidiendo a gritos