En el panorama empresarial digital actual, las aplicaciones web se han convertido en objetivos atractivos para los atacantes. Según el "Informe de Verizon sobre investigaciones de violación de datos de 2018", el 25% de las violaciones de datos tuvieron como objetivo las aplicaciones web. Cada día se implementan nuevos hacks y ataques para explotar las vulnerabilidades de seguridad de las aplicaciones web. Dado que las nuevas debilidades son expuestas a un ritmo que la mayoría de las organizaciones no pueden seguir, no es de extrañar que la seguridad de las aplicaciones se haya convertido en uno de los principales factores que repercuten en la percepción de la marca de una empresa.
Por eso, el equipo de ADSelfService Plus se centra en parchear las vulnerabilidades y brechas de seguridad identificadas cuando se detectan en el producto. La siguiente lista describe los problemas de seguridad de las aplicaciones más comunes que se han encontrado en ADSelfService Plus, del más reciente al más antiguo, y cómo se abordan. Si configura algún archivo XML para solucionar un problema, asegúrese de reiniciar ADSelfService Plus para que los cambios surtan efecto.
Dependencia Log4j (CVE-2021-44228)
Gravedad: crítico
Una vulnerabilidad en la biblioteca Apache Log4j permite los ataques de ejecución remota de código no autorizada.
Corrección: se ha eliminado por completo la dependencia de la biblioteca Log4j.
ADSelfService Plus corrigió esta vulnerabilidad en la compilación 6119.
Nota: la biblioteca Log4j es necesaria si ha habilitado RSA SecurID como autenticador para la función de MFA de ADSelfService Plus. Para obtener más información, consulte este artículo.
Exposición del usuario del dominio (CVE-2021-20147)
Gravedad: medio
Esta vulnerabilidad en el proceso ChangePasswordAPI permite que un atacante remoto no autenticado determine si existe un usuario de dominio de Windows.
Corrección: se ha eliminado por completo la dependencia de la biblioteca Log4j.
ADSelfService Plus corrigió esta vulnerabilidad en la compilación 6116.
Exposición de la política de contraseñas del dominio (CVE-2021-20148)
Gravedad: medio
Si ADSelfService Plus está configurado con múltiples dominios de Windows, un usuario de un dominio puede obtener la política de claves para otro dominio al autenticarse en el servicio y luego enviar una solicitud especificando el archivo de política de contraseñas del otro dominio.
Corrección: el acceso a la política de contraseñas de dominio HTML ahora está restringido para todos los usuarios.
ADSelfService Plus corrigió esta vulnerabilidad en la compilación 6116.
Omisión de la autenticación (CVE-2021-40539)
Gravedad: alto
Esta vulnerabilidad podría conducir a una omisión de la autenticación que afectará a las URL de la API REST. Esta omisión podría resultar en la toma de control del equipo.
Corrección: se ha reforzado la validación de la API y se han eliminado las API inseguras.
ADSelfService Plus corrigió esta vulnerabilidad en la compilación 6114.
Inyección MIME de correo electrónico (CVE-2021-37420)
Gravedad: crítico
Esta vulnerabilidad permite a los atacantes no autenticados enviar correos electrónicos sobre cualquier contenido a los usuarios del dominio enviando solicitudes especialmente diseñadas al endpoint "/RestAPI/PasswordSelfServiceAPI".
Corrección: los datos enviados al parámetro "ACTION_TO_PERFORM" se validan con respecto a una lista blanca predefinida de las acciones aceptadas y se bloquean las acciones desconocidas.
ADSelfService Plus corrigió esta vulnerabilidad en la compilación 6112.
Inyección SQL booleana (CVE-2021-37422)
Gravedad: alto
Esta vulnerabilidad permite llevar a cabo ataques de inyección SQL booleana en la base de datos Oracle añadiendo una entrada de usuario no depurada en la consulta SQL. Esta vincula manualmente la cuenta a la base de datos. La inyección podría ir seguida de la exfiltración de información almacenada en la base de datos.
Corrección: los caracteres especiales se depuran adecuadamente antes de añadir la cadena a la consulta SQL.
ADSelfService Plus corrigió esta vulnerabilidad en la compilación 6112.
Apropiación de la cuenta a través de la creación de una cuenta de equipo (CVE-2021-37424)
Gravedad: alto
Esta vulnerabilidad puede resultar en la toma de control de la cuenta de administrador de dominio al explotar el código de programa del producto para eliminar los espacios en blanco iniciales en el campo de nombre de usuario. Un atacante puede crear una cuenta de equipo con el nombre de usuario "Administrador" y utilizarla para iniciar sesión en ADSelfService Plus. Una vez eliminado el espacio en blanco, el atacante inicia sesión como "Administrador". Esta es la cuenta del administrador del dominio. Luego, el atacante puede alterar la información de inscripción guardada en el producto, cambiar la contraseña de la cuenta del administrador del dominio y comprometer el dominio de AD.
Corrección: los caracteres de espacio en blanco iniciales y finales no se deben eliminar de los nombres de usuario proporcionados. Si el texto se emplea en el filtro de búsqueda LDAP, los caracteres de espacio inicial y final se deben codificar adecuadamente.
ADSelfService Plus corrigió esta vulnerabilidad en la compilación 6112.
Ataque de falsificación de solicitud del lado del servidor (SSRF) en el entorno de alta disponibilidad (CVE-2021-37419)
Gravedad: alto
Esta vulnerabilidad permite a los atacantes realizar un ataque SSRF enviando solicitudes POST desde el servidor primario de ADSelfService Plus en el entorno de alta disponibilidad al endpoint /servlet/ADSHACluster sin autenticación. Los parámetros también se pueden inyectar en el cuerpo de la solicitud POST.
Corrección: los datos proporcionados en los parámetros haAuthKey y MASTER_SERVER_URL JSON se deben depurar adecuadamente.
El parámetro MASTER_SERVER_URL se debe validar con una lista blanca o los endpoints vulnerables se deben restringir solo para usuarios autorizados.
ADSelfService Plus corrigió esta vulnerabilidad en la compilación 6112.
Problema de apropiación de cuenta (CVE-2021-37927)
Gravedad: alto
Esta vulnerabilidad permite a los atacantes interceptar el valor del atributo samlResponse devuelto por el proveedor de identidades durante los inicios de sesión SSO SAML, modificar el ID de correo electrónico proporcionado en el campo NameId y tomar el control de una cuenta de usuario sin la firma.
Corrección: forzar la verificación de la firma SAML.
ADSelfService Plus corrigió esta vulnerabilidad en la compilación 6110.
Autenticación remota de código mediante inyección de PowerShell (CVE-2021-33055)
Gravedad: alto
Una vulnerabilidad que aprovecha las discrepancias en la codificación y descodificación del carácter especial de comillas en los parámetros de entrada del usuario para realizar la ejecución remota de código no autenticado y autenticado mediante la inyección de PowerShell.
Corrección: codificar completamente todos los valores de los parámetros a base64 antes de pasarlos a PowerShell.
ADSelfService Plus corrigió esta vulnerabilidad en la compilación 6105.
Vulnerabilidad de omisión de CAPTCHA (CVE-2021-37417)
Gravedad: medio
Una vulnerabilidad que permite a los usuarios omitir el CAPTCHA en la página de inicio de sesión de ADSelfService Plus empleando el parámetro EXCLUDE_CAPTCHA en la URL /j_security_check. Esto podría resultar en ataques de fuerza bruta.
Corrección: eliminar el indicador EXCLUDE_CAPTCHA para evitar que sea procesado por el parámetro.
ADSelfService Plus corrigió esta vulnerabilidad en la compilación 6104.
Ataque de scripting entre sitios (CVE-2021-27956)
Gravedad: alto
Una vulnerabilidad poco frecuente que puede resultar en ataques de scripting entre sitios en el campo de dirección de correo electrónico usado en la función de búsqueda de empleados.
Corrección:.
ADSelfService Plus corrigió esta vulnerabilidad en la compilación 6104.
Ataque de scripting entre sitios reflejado (CVE-2021-37416)
Gravedad: medio
Esta vulnerabilidad hace que ADSelfService Plus sea propenso a cross-site scripting reflejado a través del parámetro single_signout en el endpoint /LoadFrame. Esto podría resultar en la apropiación de la cuenta de la víctima.
Corrección: los caracteres especiales se depuran antes de añadir la cadena al código HTML.
ADSelfService Plus corrigió esta vulnerabilidad en la compilación 6104.
Exposición de la información de la aplicación de base de datos (CVE-2021-31874)
Gravedad: alto
Una vulnerabilidad que, en raras ocasiones, permite a los atacantes exponer información sobre la aplicación de base de datos configurada para la sincronización de contraseñas. Esto se logra explotando el parámetro HOST_NAME que se envía al vincular cuentas con esa base de datos.
Corrección: la aplicación no procesa el parámetro HOST_NAME proporcionado por el usuario. En su lugar, se utiliza el valor HOST_NAME proporcionado por el administrador durante la configuración de la aplicación.
ADSelfService Plus corrigió esta vulnerabilidad en la compilación 6104.
Omisión de la restricción de acceso al portal de gestión a través de la cabecera X-Forwarded-For (CVE-2021-37421)
Gravedad: medio
ADSelfService Plus permite a los administradores de TI restringir el acceso al portal de administración con base en las direcciones IP. Un atacante puede omitir este mecanismo de seguridad empleando la cabecera "X-Forwarded-For" establecida en la dirección IP de la lista blanca.
Corrección: el contenido de la cabecera X-Forwarded-For no se debe tomar como la dirección IP de origen, ya que podría ser modificado por el usuario.
ADSelfService Plus corrigió esta vulnerabilidad en la compilación 6104.
Ejecución remota de código no autenticada durante el cambio de contraseña (CVE-2021-28958)
Gravedad: alto
Esta vulnerabilidad se debe a la depuración inadecuada del carácter de comillas dobles cuando se realiza el cambio de contraseña de usuario usando scripts de PowerShell. Esto hace que sean propensos a la inyección y ejecución remota de código.
Corrección: los caracteres especiales se codifican adecuadamente antes de añadir la cadena al script de PowerShell.
ADSelfService Plus corrigió esta vulnerabilidad en la compilación 6102.
Claves de cifrado fijas (CVE-2019-7161)
Gravedad: alto
Esta vulnerabilidad surgió porque ADSelfService Plus utilizaba claves de cifrado codificadas para proteger la información. Esto permitía a un atacante descifrar cualquier dato protegido.
Corrección:
ADSelfService Plus corrigió esta vulnerabilidad en la compilación 6100.
Autorización incorrecta (ZVE-2020-4164)
Gravedad: medio
Esta vulnerabilidad provocaba una autorización incorrecta de las acciones de los usuarios finales.
Corrección: se ha proporcionado la autorización adecuada para las acciones del usuario final.
ADSelfService Plus corrigió esta vulnerabilidad en la compilación 6100.
Ejecución remota de código no autenticada (CVE-2020-11552)
Gravedad: alto
Esta vulnerabilidad se produce cuando el producto no aplica correctamente los privilegios de usuario asociados al cuadro de diálogo del certificado de Windows. Esto permite a un atacante no autenticado ejecutar comandos de forma remota con privilegios de nivel de sistema en el host Windows de destino.
Corrección: se ha creado un sitio de control personalizado para dejar de mostrar las alertas de seguridad relacionadas con los certificados que causaban el problema.
ADSelfService Plus corrigió esta vulnerabilidad en la compilación 6003.
Integraciones de productos de ManageEngine que omiten la autenticación
Gravedad: alto
Esta vulnerabilidad permite a los atacantes integrar con otros productos de ManageEngine omitiendo la verificación de autenticación.
Corrección: se restringieron las llamadas no autorizadas.
ADSelfService Plus corrigió esta vulnerabilidad en la compilación 5817.
Vulnerabilidad de ejecución remota de código
Gravedad: alto
Esta vulnerabilidad permite a un atacante remoto comprometer los sistemas vulnerables. Existe debido a la insuficiente validación de la entrada proporcionada por el usuario. Un no-atacante remoto puede pasar una entrada especialmente diseñada a la aplicación y ejecutar un código arbitrario en el sistema de destino.
Corrección: se deshabilitó el acceso al endpoint /cewolf.
ADSelfService Plus corrigió esta vulnerabilidad en la compilación 5815.
Vulnerabilidad de clave de negociación predecible
Gravedad: medio
Esta vulnerabilidad permite a un atacante remoto predecir la clave de negociación y comprometer los sistemas vulnerables.
ADSelfService Plus corrigió esta vulnerabilidad en la compilación 5815.
Omisión de la autenticación en ADSelfService Plus
Gravedad: alto
Esta vulnerabilidad permite a un atacante obtener acceso al explorador de archivos de un equipo a través del agente de inicio de sesión de ADSelfService Plus. Esto se logra empleando certificados SSL autofirmados.
Corrección: la vulnerabilidad se ha resuelto habilitando el indicador RESTRICT_BAD_CERT de forma predeterminada.
ADSelfService Plus corrigió esta vulnerabilidad en la compilación 5814.
Vulnerabilidad XSS debido a la API de la aplicación móvil
Gravedad: medio
Esta vulnerabilidad permite a un atacante explotar las conexiones que los usuarios tienen con aplicaciones inseguras. Un atacante puede hacerse pasar por un usuario, llevar a cabo cualquier acción que este último pueda realizar y acceder a cualquiera de sus datos.
Corrección: el contenido malicioso reflejado se salta (se omite o elimina) para que no sea analizado como HTML.
ADSelfService Plus corrigió esta vulnerabilidad en la compilación 5708.
Vulnerabilidad de SSRF
Gravedad: medio
La falsificación de solicitudes del lado del servidor, también conocida como SSRF, es una vulnerabilidad que permite a un atacante inducir a una aplicación del lado del servidor a enviar solicitudes HTTP a un dominio arbitrario elegido por el atacante. Esto puede resultar en el acceso a los datos dentro de la empresa, ya sea en la propia aplicación insegura u otros sistemas back-end con los que se comunica la aplicación.
ADSelfService Plus corrigió esta vulnerabilidad en la compilación 5703.
Vulnerabilidad de inyección en agentes de inicio de sesión de Windows y Linux
Gravedad: alto
Esta vulnerabilidad permite al atacante explotar el software cliente de ADSelfService Plus y obtener privilegios de SISTEMA en un equipo Windows o Linux. Esto se logra teniendo acceso físico al equipo.
Corrección:
Se ha publicado una actualización de seguridad para solucionar esta vulnerabilidad.
ADSelfService Plus corrigió esta vulnerabilidad en la compilación 5802.
Vulnerabilidad de entidad externa XML
Gravedad: alto
La inyección de entidad externa XML, también conocida como XXE, es una vulnerabilidad de ciberseguridad que permite a un atacante intervenir en el procesamiento de datos XML de una aplicación. También posibilita que un intruso vea los archivos en el sistema de archivos del servidor de aplicaciones y se comunique con cualquier sistema back-end o externo accesible para la aplicación.
Corrección: los archivos JAR vulnerables han sido eliminados y actualizados con los archivos adecuados. ADSelfService Plus corrigió esta vulnerabilidad en la compilación 5701.
Falta el indicador HttpOnly de las cookies
Gravedad: bajo
La ausencia del indicador HttpOnly en las cookies aumenta el riesgo de que un script del lado del cliente acceda a las cookies. Esto puede resultar en un ataque de falsificación de solicitud entre sitios (CSRF).
Corrección: ADSelfService Plus incluye el indicador HttpOnly en las cookies. Si un script del lado del cliente intenta leer la cookie, el navegador devuelve una cadena vacía como resultado. ADSelfService Plus solucionó esta vulnerabilidad en la compilación 5520, el 31 de mayo de 2018.
Explotación de los métodos HTTP no utilizados
Gravedad: bajo
Los métodos HTTP como GET, HEAD, TRACE, PUT, DELETE y OPTIONS están sujetos a ataques y suponen amenazas de seguridad para las aplicaciones web. Por ejemplo, TRACE se usa para devolver al cliente una cadena enviada al servidor web. Aunque se creó inicialmente con fines de depuración, este método se puede emplear para lanzar un ataque de rastreo entre sitios (XST) contra servidores.
Corrección: ADSelfService Plus bloquea los métodos HTTP no utilizados como GET, HEAD, DELETE TRACE y OPTIONS.
ADSelfService Plus solucionó esta vulnerabilidad en la compilación 5517, el 17 de abril de 2018.
Vulnerabilidades en las versiones anteriores de jQuery
Gravedad: alto
Las versiones anteriores de jQuery contienen vulnerabilidades de seguridad.
Corrección: ADSelfService Plus actualizó el paquete jQuery de 1.8.1 a 1.12.2 en la compilación 5517, el 17 de abril de 2018.
Vulnerabilidad de carga de archivos sin restricciones
Gravedad: alto
En este tipo de vulnerabilidad, un atacante carga una solicitud POST de varias partes o de datos de formulario con un nombre de archivo especialmente diseñado o de tipo MIME. Esto genera ataques de scripting entre sitios (XSS) y la ejecución de código malicioso en el lado del servidor.
Corrección: ADSelfService Plus emplea un filtro de lista blanca durante la carga de archivos. Solo acepta formatos PNG, HTML, CSV, PDF, XLS, XLXS y CSVDE.
ADSelfService Plus corrigió esta vulnerabilidad en la compilación 5516, el 29 de marzo de 2018.
Vulnerabilidad de falsificación de solicitud del lado del servidor
Gravedad: alto
En un ataque de falsificación de solicitud del lado del servidor (SSRF), un atacante modifica una URL existente o proporciona una nueva para enviarla al servidor. Cuando el servidor gestiona esta solicitud con una URL manipulada, lee o envía datos a esta. Normalmente, el atacante tiene como objetivo el hash NTLM de cuentas específicas para acceder a los recursos vinculados a esa cuenta.
Corrección: ADSelfService Plus actualizó el archivo dd-plist.jar file (ubicación predeterminada: directorio de instalación\lib\dd-plist.jar) en la compilación 5516, el 29 de marzo de 2018.
Vulnerabilidad de XSS reflejado
Gravedad: alto
La vulnerabilidad de XSS reflejado está diseñada específicamente para atacar sitios web que un usuario está visitando. Cuando un usuario hace clic en un enlace malicioso en un sitio de confianza, se inyecta un script en la solicitud. Esta viaja al servidor y se refleja de tal forma que la respuesta HTTP incluye el script malicioso. El navegador ejecuta el script malicioso porque ese último procede de un servidor "de confianza".
Corrección: ADSelfService Plus depura el script con caracteres como <, >, &, ', y " presentes en los parámetros de consulta.
ADSelfService Plus corrigió esta vulnerabilidad en la compilación 5516, el 29 de marzo de 2018.
Omitir las validaciones del lado del cliente
Gravedad: alto
Al explotar esta vulnerabilidad, un atacante omite la validación de entrada del lado del cliente para el contenido objetivo (por ejemplo, los campos de contraseña).
Los atacantes suelen omitir las validaciones de entrada de una aplicación web eliminando JavaScript al emplear una herramienta de desarrollo web o gestionando la solicitud HTTP —a través de una herramienta proxy— de forma que no pase por el navegador.
Corrección: no es necesario hacer ninguna corrección para esta vulnerabilidad. ADSelfService Plus es inmune a esta vulnerabilidad, ya que aplica la validación tanto del lado del cliente como del lado del servidor.
Fuga de información a través de comentarios
Gravedad: bajo
La fuga de información se produce cuando una aplicación revela involuntariamente datos sensibles, tales como los detalles técnicos de una red o los datos específicos de los usuarios. Dependiendo de qué datos se filtren, un atacante podría utilizarlos para explotar la aplicación web objetivo, su red de alojamiento o los usuarios de la aplicación.
Corrección: los programadores de ADSelfService Plus se han asegurado de eliminar la información sensible que podría haber sido revelada a través de comentarios en el código fuente.
Huellas digitales del servidor web
Gravedad: bajo
Explotar las vulnerabilidades de seguridad de cualquier aplicación es más fácil cuando los atacantes conocen la plataforma en la que se crea. Aunque las cabeceras HTTP se emplean principalmente para proporcionar información a fin de gestionar las solicitudes y respuestas de manera eficiente, los atacantes también podrían explotarlas para identificar el servidor web usado y su versión.
Corrección: no es necesario corregir esta vulnerabilidad. ADSelfService Plus es inmune a esta vulnerabilidad, ya que añade una etiqueta de servidor en el archivo server.xml (ubicación predeterminada: directorio de instalación/conf) para ocultar el servidor web real.
Ejemplo:
<Connector port="8888" name="WebServer" maxThreads="150" minSpareThreads="25" maxSpareThreads="75" enableLookups="false" redirectPort="8443" acceptCount="100" connectionTimeout="20000" disableUploadTimeout="true" URIEncoding="UTF-8" server="ADSSP" />
Inicios de sesión simultáneos
Gravedad: medio
Una aplicación diseñada para aceptar inicios de sesión concurrentes puede dar lugar a que un usuario malicioso ingrese credenciales válidas al mismo tiempo que las de un usuario legítimo para autenticarse en la red. Esto podría generar problemas de seguridad dentro de la organización, como el uso indebido de la información personal del usuario para realizar acciones no autorizadas.
Corrección: la función "Denegar inicio de sesión concurrente" de ADSelfService Plus impide que los usuarios ejecuten varias sesiones a la vez en el producto.
ADSelfService Plus corrigió esta vulnerabilidad en la compilación 5517, en abril de 2018.
Vulnerabilidades de scripting entre sitios (XSS)
Gravedad: alto
Los ataques de XSS implican que un atacante inyecte un script del lado del cliente en la aplicación objetivo. El navegador del usuario final no tiene forma de saber que el script no es de confianza y ejecutará el script malicioso.
Corrección: eliminar el # al principio de X-XSS-Protection en el archivo security_params.xml (ubicación predeterminada: directorio de instalación/conf) y configurarlo como 1. La mayoría de los navegadores reconocen esta cabecera y tomarán las medidas necesarias para evitar ataques de XSS al verla.
A continuación se muestra cómo se verá la cabecera de la solicitud después de la corrección:
X-XSS-Protection=1
ADSelfService Plus corrigió esta vulnerabilidad en la compilación 4500.
Vulnerabilidad de falsificación de solicitud entre sitios (CSRF)
Gravedad: alto
La CSRF es un ataque que engaña a un navegador web para que ejecute un comando no deseado en una aplicación en la que un usuario ha iniciado sesión. Esto se logra cuando un usuario hace clic inadvertidamente en un enlace malicioso en un sitio web legítimo. Esto envía una solicitud HTTP que el usuario no tenía la intención de emitir. Esta solicitud incluye una cabecera de cookie que contiene el ID de sesión del usuario. Para la aplicación es imposible distinguir entre las solicitudes legítimas y las falsificadas.
Corrección: ADSelfService Plus envía cada solicitud con un token. Esto evita que se ejecuten las acciones que no proporcionen los tokens de autenticación necesarios.
ADSelfService Plus corrigió esta vulnerabilidad en la compilación 5300, en abril de 2015.
Scripting entre tramas (XSF)/Clickjacking
Gravedad: alto
En el scripting entre tramas se engaña a un usuario para que haga clic en algo distinto de lo que pensaba. Esto hace que revele información sensible o ejecute un comando no deseado sin darse cuenta. Por lo general, el scripting entre tramas se lleva a cabo cuando un atacante incrusta iFrames maliciosos en un sitio web legítimo para engañar a los usuarios y que ingresen su información. Cuando un usuario ingresa sus credenciales en el sitio legítimo dentro del iFrame, el keylogger JavaScript malicioso registra las pulsaciones de teclado de la víctima y las envía al servidor del atacante.
Corrección: eliminar el # al principio de x-frame-options en el archivo security_params.xml (ubicación predeterminada: directorio de instalación/conf) y configurarlo como SAMEORIGIN. Esta corrección no permite que otros sitios carguen ADSelfService Plus en sus iFrames.
A continuación se muestra cómo se verá la cabecera de la solicitud después de la corrección:
x-frame-options=SAMEORIGIN
ADSelfService Plus corrigió esta vulnerabilidad en la compilación 5300, en abril de 2015.
Política de caché débil o política de caché del servidor
Gravedad: medio
Una página del navegador almacena los contenidos en caché en el equipo del usuario para no tener que descargarlos cada vez que el usuario abre esa página. Incluso en los canales SSL seguros, los datos sensibles pueden ser almacenados por proxies y terminadores SSL. Si un atacante se aprovecha de la caché del navegador, los datos sensibles como la información de las tarjetas de crédito y los nombres de usuario corren peligro.
Corrección: cada página HTTP en ADSelfService Plus está configurada con cabeceras de respuesta Cache-Control, Pragma y Expires para evitar que los datos sean almacenados en la caché. Para aplicar esta corrección, tendrá que eliminar el # al principio de cache-control=no-cache, no-store en el archivo security_params.xml (ubicación predeterminada: directorio de instalación/conf).
A continuación se muestra cómo se verá la cabecera de la solicitud después de la corrección:
cache-control=no-cache, no-store
ADSelfService Plus corrigió esta vulnerabilidad en la compilación 5300, en abril de 2015.
MIME-SNIFFING
Gravedad: bajo
Cuando no hay suficientes metadatos para determinar el tipo de contenido de los datos, la mayoría de los navegadores —en particular Microsoft Internet Explorer— intentan determinar el tipo de contenido utilizando una técnica llamada rastreo MIME. Sin embargo, los atacantes explotan esta técnica manipulando el navegador para que interprete los datos de forma que permita realizar operaciones inesperadas. Estas últimas incluyen el scripting entre sitios.
Corrección: eliminar el # al principio de x-content-type y configurarlo como nosniff en el archivo security_params.xml.
A continuación se muestra cómo se verá la cabecera de la solicitud después de la corrección:
x-content-type=nosniff
ADSelfService Plus corrigió esta vulnerabilidad en la compilación 5300, en abril de 2015.
Intercambio de recursos de origen cruzado (CORS) con comodín inseguro
Gravedad: alto
El intercambio de recursos de origen cruzado (CORS) es un estándar que define un conjunto de cabeceras que permiten a un servidor y un navegador determinar cuáles solicitudes de recursos entre dominios están permitidas y cuáles no. La desventaja de este estándar es que no valida ni pone en la lista blanca a los solicitantes cuando access-control-allow-origin está configurado con el símbolo ‘*’. Este símbolo es un comodín y configurar el control de acceso con un * básicamente permite a cualquier dominio de la web acceder a los recursos de ese sitio.
Corrección: configurar access-control-allow-origin con un nombre de dominio específico para corregir la vulnerabilidad de CORS. ADSelfService Plus corrigió esta vulnerabilidad en la compilación 5300, en abril de 2015.
Problema de la función autocompletar del navegador
Gravedad: bajo
La mayoría de los navegadores copian en la caché las credenciales del usuario que se ingresan en los formularios HTML. Esta función almacena las credenciales en el equipo del usuario, permitiendo una respuesta más rápida la próxima vez que el usuario intente acceder a la aplicación. Esta vulnerabilidad puede ser explotada por un atacante con acceso local. Esto le permite ver las contraseñas en texto plano desde la caché del navegador.
Corrección: ADSelfService Plus no permite emplear la función autocompletar en sus campos de contraseña.
ADSelfService Plus corrigió esta vulnerabilidad en la compilación 5300, en abril de 2015.
Falta el indicador HTTPOnly y el indicador Secure en las cookies de sesión
Gravedad: bajo
Si una cookie de sesión no tiene un indicador HttpOnly, se puede acceder a la cookie a través de JavaScript. Prácticamente, esto significa que un ataque de XSS podría resultar en el robo de cookies. A su vez, esto podría traducirse en la apropiación de una cuenta o sesión.
Corrección: habilitar SSL en ADSelfService Plus, luego configurar el indicador HTTPOnly y el indicador Secure para las cookies de sesión. Al hacerlo, el navegador devuelve una cadena vacía si un script del lado del cliente intenta leer las cookies. ADSelfService Plus corrigió esta vulnerabilidad en la compilación 5300, en abril de 2015.
Vulnerabilidades de SHA1WithRSA
Gravedad: alto
El uso de SHA1WithRSA provoca una vulnerabilidad de colisión. Esta permite a un atacante crear dos cadenas de entrada con el mismo hash SHA-1 con menos potencia computacional de la que debería requerir una buena función hash.
Corrección: ADSelfService Plus usa SHA256WithRSAENCRYPTION de forma predeterminada para abordar esta vulnerabilidad de seguridad. ADSelfService Plus corrigió esta vulnerabilidad en la compilación 5300, en abril de 2015.
Fijación de la sesión
Gravedad: alto
En esta vulnerabilidad, un atacante tiene como objetivo las limitaciones de la gestión del ID de sesión de la aplicación. Cuando el usuario malicioso visita la aplicación, se le asigna un ID de sesión. El atacante anota este ID de sesión y deja el navegador abierto. Si otro usuario se autentica en la aplicación en el mismo equipo sin cerrar el navegador, iniciará sesión con el ID de sesión establecido por el atacante. Este último puede utilizar esta información para obtener acceso completo a la cuenta de la aplicación del usuario hasta que finalice esa sesión. Esto puede generar posibles problemas de seguridad, ya que el atacante puede emplear este acceso para cambiar la contraseña del usuario.
Corrección: ADSelfService Plus crea nuevos identificadores de sesión para cada autenticación correcta (es decir, para cada nueva sesión).
ADSelfService Plus corrigió esta vulnerabilidad en la compilación 5300, en abril de 2015.
Inyección SQL mediante la creación de un marco
Gravedad : alto
La inyección SQL se produce cuando un atacante añade o inyecta código malicioso en una sentencia SQL ejecutada por la aplicación web. Una inyección SQL exitosa permite a los atacantes suplantar la identidad de un usuario, manipular los datos existentes e incluso obtener el control total del servidor de la aplicación web.
Corrección: las operaciones de base de datos para ADSelfService Plus se gestionan a través de nuestro marco interno para evitar inyecciones SQL y otros ataques similares.
Cifrado SSL débil
Gravedad: alto
Toda aplicación depende de la protección de tres parámetros, conocidos colectivamente como el conjunto de cifrado: autenticación, cifrado y algoritmos hash. Una aplicación que usa SSL/TLS para transmitir datos con cifrados débiles queda desprotegida y permite a un atacante robar o manipular datos sensibles.
Corrección: agregar los siguientes cifrados seguros a ADSelfService Plus en el archivo server.xml (ubicación predeterminada: directorio de instalación/conf).
ciphers="TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA" allowUnsafeLegacyRenegotiation="false" server="Adselfservice Plus" sslProtocol="TLS" sslEnabledProtocols="TLSv1.2" compression="off"
Ejemplo:
<Connector SSLEnabled="true" acceptCount="100" compression="off" ciphers="TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA" clientAuth="false" connectionTimeout="-1" debug="0" disableUploadTimeout="true" enableLookups="false" keystoreFile="./conf/server.keystore" keystorePass="adventnet" maxSpareThreads="75" maxThreads="150" minSpareThreads="25" name="SSL" port="9251" scheme="https" secure="true" allowUnsafeLegacyRenegotiation="false" server="AdselfservicePlus" sslProtocol="TLS" sslEnabledProtocols="TLSv1.2" />
Si encuentra algún otro error diferente a los mencionados anteriormente, contáctenos al correo support@adselfserviceplus.com o al teléfono +1.408.916-9890.
Visite : www.adselfserviceplus.com
