Si tu empresa no cuenta con una defensa efectiva contra los ataques de día cero, no está adecuadamente protegida en la web. Uno de los aspectos más cruciales de un web application firewall (WAF) es su capacidad para mitigar amenazas que explotan nuevas vulnerabilidades, comúnmente conocidas como “ataques de día cero”, que a menudo son desconocidas incluso para los desarrolladores del software afectado.
A diferencia de muchas soluciones, incluidas las de proveedores globales, el Web Application Firewall de Azion se destaca por nunca haber experimentado un bypass (ataque capaz de eludir la protección ofrecida por un WAF). También se detaca al proteger a nuestros clientes contra vulnerabilidades y oleadas de ataques críticos, como se ilustra en los casos de los que hablaremos a continuación.
1. Apache HTTP Server Exploit (CVE-2021-41773)
El 29 de septiembre de 2021, el equipo de seguridad de Apache descubrió la vulnerabilidad CVE 2021-41773, que los atacantes estaban explotando para comprometer servidores web de Apache y acceder a archivos confidenciales. En la práctica, aprovecharon un cambio en el Servidor HTTP Apache 2.4.49, lo que facilitó un tipo de ataque conocido como salto de directorio (path traversal). Esto les permitió acceder a archivos y directorios almacenados fuera de la carpeta raíz del servidor web.
El hecho de que un atacante pudiera tener la capacidad de tomar el control total del servidor a través de la ejecución remota de código subrayó la gravedad de la situación. Afortunadamente, nuestros clientes ya estaban protegidos contra esta amenaza de día cero, ya que el Web Application Firewall de Azion permite la activación de conjuntos de reglas específicas para intrusiones RFI (Remote File Intrusions, intrusión remota de archivos) y salto de directorio (Directory Traversal), que recomendamos encarecidamente habilitar y configurar siempre en el nivel de sensibilidad “High”.
2. Claroty WAF bypass
Durante la conferencia Black Hat Europe 2022 en Londres, el equipo de investigación de seguridad de Claroty, Team82, presentó una forma genérica de eludir los WAFs vendidos por varios proveedores globales. Se trató de una técnica basada en un ataque SQLi (SQL injection) que, en la práctica, utiliza la sintaxis JSON —un formato de archivo abierto y estandarizado de intercambio de datos— para hacer que los comandos SQL fueran invisibles para algunas soluciones de WAF.
Cuando se reveló este descubrimiento, muchos WAF aún no tenían soporte para JSON, lo que otorgó a los investigadores una brecha para crear nuevos payloads de SQL injection que explotaran esa vulnerabilidad. En las pruebas realizadas por Azion, se determinó que la protección estándar del WAF contra SQLi, configurada en el nivel de sensibilidad más alto y sin reglas personalizadas o adicionales, demostró ser suficiente para bloquear estos ataques.
3. CRLF Injection bypass
En 2023, surgió un ataque conocido como CRLF injection. Según los investigadores de seguridad de Praetorian, este ocurre cuando “una aplicación no filtra correctamente y devuelve un encabezado de respuesta HTTP que incluye la entrada del usuario controlada por el atacante”.
Nuestro equipo de seguridad realizó dos tests usando la prueba de concepto presentada por Praetorian, ejecutando el WAF de Azion en un entorno controlado. En ambos casos, el WAF bloqueó con éxito los intentos de CRLF injection, sin necesidad de expresiones regulares adicionales.
Uno de los factores clave para el éxito del WAF de Azion en la mitigación de ataques de día cero es su algoritmo de bloqueo basado en puntaje. Sin embargo, esta no es la única característica destacada de la solución, también permite el uso de reglas preestablecidas que pueden personalizarse y complementarse con edge functions, de acuerdo con las necesidades específicas del negocio.
Si quieres más información sobre cómo nuestro WAF brinda estos y otros beneficios, puedes consultar este artículo o, si lo prefieres, puedes entrar en contacto con uno de nuestros experts.
