Threat Stack introduce detección adicional de ataques en tiempo de ejecución

Protección contra más tipos de ataques a aplicação

El monitoreo de seguridad de aplicação de Threat Stack detecta vulnerabilidades en el código y bloquea ataques en vivo en tiempo real. La mayoría de las soluciones de seguridad de aplicação hablan de los ataques en tiempo de ejecución más comunes (inyección SQL o XSS), por ejemplo, pero los lenguajes y marcos de aplicação web modernos también incluyen algunas funciones legítimas que pueden abusarse, lo que da como resultado ataques que pueden tener un impacto tan alto como esos (o mayor). El monitoreo de seguridad de aplicação de Threat Stack protege contra SQLi y XSS, y ahora estamos introduciendo detección de ataques en tiempo de ejecución adicional para proteger aún más sus aplicação web, microservicios y cargas de trabajo de API contra ataques de recorrido de ruta o directorio y ejecución remota de código. 

Ejecución remota de código (RCE)

La ejecución remota de código (RCE, también conocida como ejecución de código arbitrario o ACE) permite a un atacante ejecutar código arbitrario en el servidor donde se ejecuta una aplicação . Se trata de un ataque de inyección: un atacante podría pasar una cadena a una función que ejecutaría sus propios comandos del sistema operativo. Una buena explicación de cómo funciona esto en Javascript está en el blog de Wanago.io en https://wanago.io/2018/11/19/how-does-eval-work-and-how-is-it-evil-javascript-eval/ . En este ejemplo, la función eval toma una cadena y la ejecuta como código con los mismos privilegios que el resto de la aplicação. Imagine que un atacante envía lo siguiente en el formulario de registro de su sitio como nombre de usuario:

'Juan"); exec("rm -rf ./*"); console.log("'

Si ese valor de nombre de usuario se usa en una función de evaluación, ¡no será un muy buen día!

Threat Stack lo protege de RCE de dos maneras: en el momento de la compilación y en el momento de la ejecución. En el momento de la compilación, el microagente AppSec identifica llamadas de función que son vulnerables a ataques RCE, como eval() en Node.js u os.fork en Python. Podría haber usos legítimos y seguros de estas funciones, por eso las marcamos como “riesgo” para los desarrolladores. Proporcionamos contenido de aprendizaje electrónico que explica por qué podrían ser riesgosos y ofrece alternativas más seguras. Sin embargo, durante el tiempo de ejecución identificamos intentos de explotar realmente las vulnerabilidades. Por ejemplo, si vemos que una de esas funciones riesgosas se invoca con contenido proveniente de la web que contiene un exploit de comando de shell, lo marcamos como un ataque y notificamos inmediatamente a su equipo. Los exploits de comandos comunes podrían consistir en comandos como kill, disabled, stop, fdisk, etc. 

Recorrido de ruta o directorio 

Un ataque de recorrido de ruta o directorio permite a un atacante leer (o en algunos casos escribir) archivos arbitrarios en el servidor donde se ejecuta una aplicação ; archivos fuera de las carpetas donde reside la aplicação web. Esto podría incluir el código fuente de la aplicação , credenciales o archivos valiosos del sistema operativo. Funciona explotando una técnica común de uso de rutas de archivos relativas en variables, generalmente denominadas secuencias “punto-punto-barra (../)”. Por ejemplo, la secuencia ../ se refiere a un nivel superior en la estructura del directorio. Si combinas varias de estas secuencias, podrás hacer referencia a la raíz del sistema de archivos desde donde se puede acceder a otros archivos y directorios. 

Hay muchos usos legítimos para las secuencias de punto-punto-barra, por lo que sería molesto si cualquier uso de ellas se marcara como un riesgo (como podría verse en una herramienta SAST). En cambio, Threat Stack AppSec Monitoring analiza tanto la función que la utiliza como la carga útil que se pasa a la función en tiempo de ejecución. Por ejemplo, en una aplicação Node.js que utiliza comandos como fs.open/read/write/etc. , se puede verificar la carga útil que se pasa a la función para verificar la codificación de la ruta del directorio o referencias a archivos confidenciales del sistema operativo. Una función riesgosa con una payload maliciosos se marcará como un ataque y su equipo será notificado de inmediato.

Parte de una solución de observabilidad de seguridad de pila completa

Los atacantes no piensan en niveles; no se centran únicamente en las aplicações ignorando los contenedores donde se ejecutan o el servicio en la nube donde están alojadas. Un ataque RCE, por ejemplo, podría provocar que se ejecuten procesos no autorizados en un host. O un ataque de recorrido de ruta podría comprometer archivos confidenciales de credenciales del host en la nube. Es importante poder detectar estos y otros ataques a aplicação en tiempo de ejecución, pero es fundamental habilitar la observabilidad de la seguridad en todas las superficies de ataque, independientemente de su complejidad o de cómo cambie su infraestructura. Ese es el poder de AppSec Monitoring como parte de la plataforma completa Threat Stack Cloud Security Platform®.   

Si desea obtener más información sobre la plataforma de seguridad en la nube Threat Stack, incluidas sus capacidades de seguridad de aplicação , no dude en registrarse para una demostración. Nuestros expertos en seguridad y cumplimiento estarán encantados de analizar los requisitos de su organización.