Las aplicaciones web son programas informáticos a los que se accede a través de un navegador web. Buenos ejemplos son Microsoft 365 y Google Docs/Gmail. Las aplicaciones web ofrecen muchos beneficios empresariales, como velocidad, compatibilidad y escalabilidad.
También son un objetivo principal para los ciberataques. Según el último DBIR , las aplicaciones web fueron el principal vector de acción en 2023, utilizadas en el 80% de los incidentes y el 60% de las infracciones.
Por qué las aplicaciones web son el principal objetivo de los ataques
Hay dos razones principales. En primer lugar, muchas aplicaciones web presentan vulnerabilidades o errores de configuración. En segundo lugar, muchos contienen información extremadamente valiosa, como datos personales y financieros, y una vulneración exitosa dará a los atacantes acceso directo a esos datos. La investigación de Barracuda muestra que el 40% de los profesionales de TI que han estado involucrados en piratería ética creen que los ataques a aplicaciones web se encuentran entre los más lucrativos para los ciberatacantes, y el 55% dice lo mismo de las API.
Los principales ataques OWASP dirigidos a aplicaciones web
Para comprender dónde centran su tiempo y recursos los atacantes, profundizamos en los incidentes de aplicaciones web detectados y mitigados por Barracuda Application Security durante diciembre de 2023.
Nos centramos en los ataques identificados por el Open Worldwide Application Security Project (OWASP).
Esto es lo que encontramos:
- El 30% de todos los ataques contra aplicaciones web se dirigieron a configuraciones erróneas de seguridad, como errores de codificación e implementación.
- El 21% involucró inyección de código. Se trataba de algo más que simples inyecciones de SQL (generalmente diseñadas para robar, destruir o manipular datos). Los ataques de inyección Log4Shell y LDAP también eran populares. Las organizaciones utilizan LDAP para la gestión de privilegios, la gestión de recursos y el control de acceso, por ejemplo, para admitir el inicio de sesión único (SSO) para aplicaciones.
La lista OWASP Top 10 se actualiza anualmente. Vale la pena señalar que recientemente ha habido algunos cambios en la lista OWASP Top 10. Se trata principalmente de la integración de tácticas de ataque de "nivel superior" en otras categorías. Los ejemplos incluyen secuencias de comandos entre sitios (XSS) y falsificación de solicitudes entre sitios (CSRF), que permiten a los atacantes robar datos o engañar a la víctima para que realice una acción que no tenían intención de realizar. Ambas tácticas todavía se utilizan en cantidades significativas. XSS, en particular, está siendo ampliamente utilizado por cazadores de recompensas de errores de nivel básico o piratas informáticos que intentan ingresar a las redes.
Cuidado con los robots
Los datos de detección de botnets de Barracuda muestran que la mayoría (53%) de los ataques de bots dirigidos a aplicaciones web en diciembre de 2023 fueron ataques volumétricos de denegación de servicio distribuido (DDoS).
Los ataques DDoS volumétricos generalmente son lanzados por enormes botnets de dispositivos conectados (IoT). Los ataques se basan en técnicas de fuerza bruta que inundan al objetivo con paquetes de datos para consumir ancho de banda y recursos. Vale la pena señalar que estos ataques pueden usarse como cobertura para un ataque más serio y dirigido contra la red.
Los datos también muestran que alrededor de un tercio (34%) de los ataques de bots fueron ataques DDoS a aplicaciones, dirigidos a una aplicación específica, y el 5% fueron intentos de apropiación de cuentas impulsados por bots.
Los ataques de apropiación de cuentas se detectan con Machine Learning y la capacidad Privileged Account Protection de Barracuda. La Protección de cuenta privilegiada examina los patrones de inicio de sesión para detectar anomalías y advertir a los administradores de seguridad sobre cualquier actividad inusual que pueda constituir un ataque. Esto significa que los incidentes se bloquean en una fase temprana.
Componentes de aplicaciones vulnerables y obsoletos
Los componentes vulnerables y obsoletos de las aplicaciones son los regalos que siguen dando a los atacantes. El complejo de vulnerabilidades de ProxyShell de 2021 se ha explotado continuamente, lo que ha dado lugar a una serie de infracciones de alto perfil, incluido el ransomware.
Hay algunas vulnerabilidades más antiguas y menos prominentes que son atacadas de vez en cuando por actores de amenazas, como el actual malware Androxgh0st , para el cual la Agencia de Infraestructura y Ciberseguridad de EE. UU. (CISA) emitió una advertencia el 16 de enero de 2024.
Las siguientes vulnerabilidades y exposiciones comunes (CVE) se han detectado en cantidades significativas al sondear las instalaciones de Barracuda durante los últimos meses. Los gráficos muestran que los intentos de escaneo comenzaron aproximadamente al mismo tiempo para todas estas vulnerabilidades, con picos similares, lo que sugiere que hay una campaña de ataque única o coordinada en marcha.
La fuente de los escaneos.
Estos son los países de donde provienen los escaneos de estas vulnerabilidades.
Es interesante ver el número ligeramente mayor de IP de Tor bloqueadas, así como las cifras de EE. UU. Es probable que la alta proporción de escaneos provenientes de los EE. UU. refleje el hecho de que muchos de los ataques provienen de servidores públicos con sede en los EE. UU.
También es interesante ver los cambios regionales a lo largo del tiempo. A principios de diciembre, Tor estaba entre las 5 "regiones" principales, pero desapareció de la lista a medida que avanzaba el mes, probablemente debido a la frecuencia con la que Tor se bloquea por completo.
Filtrando el ruido
Nuestro análisis de registros reveló la proporción de sondas o escaneos realizados por atacantes versus ruido de fondo.
El ruido de fondo en este caso es un escaneo relativamente benigno realizado por varios CERT, Shodan, etc., mientras que el tráfico de ataque representa a atacantes (automatizados o no) que intentan realizar ataques reales. En el caso de estas tres vulnerabilidades, la proporción es mucho más hacia el tráfico de ataque válido que hacia el escaneo.
Proteger sus aplicaciones
Como se mencionó anteriormente, las aplicaciones web y las API son vectores de ataque lucrativos para los ciberdelincuentes, y están siendo objeto de ataques cada vez mayores.
Los defensores se ven en apuros para mantenerse al día con el creciente número de vulnerabilidades. Tienen que lidiar tanto con vulnerabilidades de día cero como con vulnerabilidades más antiguas. La cadena de suministro de software para aplicaciones críticas también puede tener vulnerabilidades, como lo demuestra la vulnerabilidad Log4Shell.
Los atacantes a menudo apuntan a vulnerabilidades antiguas que los equipos de seguridad han olvidado para intentar violar una aplicación ignorada y sin parches y luego propagarla a la red.
Para obtener más información, visite https://www.cobranetworks.lat/
Contacto:
Teléfono: +52(55)5599-0691
Correo: ventas@cobranetworks.lat