Lanzan una herramienta con 150 técnicas para eludir los firewalls de aplicaciones web
En el marco de Black Hat 2012, se ha publicado una herramienta para probar si los firewalls de aplicaciones web (WAFs) son vulnerables a 150 técnicas de evasión de protocolos.
Ivan Riscit, director de ingeniería del proveedor de seguridad Qualys y autor original del popular firewall de aplicaciones web ModSecurity, ha creado y lanzado en Black Hat 2012 una herramienta que prueba si los WAFs son capaces de detectar diversas técnicas de evasión de protocolos.
Los firewalls de aplicaciones Web están diseñados para proteger a las aplicaciones web de ataques conocidos, como inyección SQL, comúnmente utilizados para comprometer páginas web. Y lo hacen interceptando peticiones enviadas por clientes y aplicando estrictas normas sobre su formateo y carga útil.
Sin embargo, hay varios métodos para ocultar las peticiones maliciosas que violan esas reglas de los WAFs modificando ciertas partes de sus cabeceras o las rutas de las URL solicitadas. Esto se conoce como técnicas de evasión de protocolos y los WAFs no están convenientemente equipados para abordarlos en ese momento, porque las técnicas no están bien documentadas, apuntó Ristic.
El investigador ha probado las técnicas de evasión que encontró principalmente contra ModSecurity, un firewall de aplicaciones web de código abierto, pero dice que es razonable asumir que otros WAFs son vulnerables también a algunas de ellas.
De hecho, Ristic afirma que compartió algunas de las técnicas con otros expertos durante la etapa de investigación y que las habían probado con éxito contra algunos productos WAF comerciales.
Erwin Huber Dohner, director de I+D de la firma suiza proveedora de WAF Ergon Informatik, constata, tras ver la presentación de Ristic, que los métodos de evasión son un problema para la industria. Ergon recientemente identificó algunas técnicas similares que funcionaron contra sus productos y resolvió tales brechas.
Al hacer pública su investigación, Ristic espera iniciar el debate en la industria sobre la evasión de los niveles de protocolos y otros tipos de evasión. También se ha creado una Wiki con el propósito de construir un catálogo de técnicas de evasión WAF que esté disponible para todos.
Si ni los proveedores ni los investigadores de seguridad documentan los problemas y los hacen públicos, los desarrolladores de firewalls de aplicaciones web caerán una y otra vez en los mismos errores, apuntó Ristic, para quien la disponibilidad de una herramienta de pruebas permitirá a los usuarios descubrir qué productos WAF son vulnerables y forzará a los proveedores a solucionarlo.
En opinión de Ristic, los fabricantes tienen diferentes prioridades y normalmente no solucionan las brechas hasta que no son un riesgo real para sus clientes. Con este proyecto de investigación espera generar el incentivo necesario para que aborden antes estas cuestiones. También el experto suizo de Ergon opina de igual manera y da la bienvenida a esta iniciativa creyendo que beneficiará tanto a usuarios como a desarrolladores de WAFs.
