Home Gobierno Australia y EE. UU. emiten una advertencia sobre las amenazas a las...

Australia y EE. UU. emiten una advertencia sobre las amenazas a las aplicaciones web

Los gobiernos de Australia y EE. UU. emitieron un aviso conjunto sobre las crecientes amenazas cibernéticas a las aplicaciones web y las interfaces de programación de aplicaciones (API).

La guía, Prevención del abuso del control de acceso a aplicaciones web, fue publicada por el Centro de Seguridad Cibernética de Australia (ACSC), la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) y la Agencia de Seguridad Nacional de EE. UU. (NSA) el 27 de julio de 2023.

Advierte a los desarrolladores y usuarios de aplicaciones web sobre la explotación frecuente de vulnerabilidades de referencia de objeto directo inseguro (IDOR): vulnerabilidades de control de acceso que permiten a los actores de amenazas modificar, eliminar o acceder a datos confidenciales mediante la emisión de solicitudes a un sitio web o API que especifican el identificador de usuario de otros. , usuarios válidos.

El aviso señaló que las vulnerabilidades de IDOR están fuertemente dirigidas por los atacantes, ya que se encuentran comúnmente y son difíciles de prevenir fuera del proceso de desarrollo. Decía: “Las vulnerabilidades de IDOR han resultado en el compromiso de la información personal, financiera y de salud de millones de usuarios y consumidores”.

Estos ataques tienen éxito cuando no se realizan comprobaciones adecuadas de autenticación y autorización, lo que permite que las solicitudes de los actores de amenazas funcionen.

Las agencias emitieron una serie de recomendaciones para proveedores, diseñadores, desarrolladores y organizaciones de usuarios finales para reducir la prevalencia de las vulnerabilidades de IDOR:


Proveedores y desarrolladores

Implemente principios seguros por diseño en cada etapa del ciclo de vida de desarrollo de software (SDLC). Las prácticas recomendadas se pueden encontrar en el Marco de desarrollo de software seguro (SSDF) del Instituto Nacional de Seguridad y Tecnología (NIST), SP 800-218.

Otras recomendaciones seguras por diseño incluyen probar el código para identificar vulnerabilidades y verificar el cumplimiento de los requisitos de seguridad y realizar capacitación basada en roles para el personal responsable del desarrollo de software seguro.

Establecer un programa de divulgación de vulnerabilidades. Esto debería permitir la divulgación de vulnerabilidades de seguridad interna y externamente.

Organizaciones de usuarios finales

Ejercer la diligencia debida al seleccionar aplicaciones web. En particular, obtener de proveedores acreditados “que demuestren compromiso con la seguridad por diseño y principios predeterminados”.

Aplicar parches de software para aplicaciones web lo antes posible

Configure la aplicación para registrar y generar alertas a partir de intentos de manipulación

Cree, mantenga y ejerza un plan básico de respuesta a incidentes cibernéticos (IRP)

El nuevo aviso encaja con la Estrategia Nacional de Ciberseguridad del gobierno de EE. UU., que tiene como objetivo otorgar más responsabilidad a los proveedores y desarrolladores de tecnología para la seguridad de los productos de software.