Uso de componentes con vulnerabilidades conocidas – OWASP Top 9

Uso de componentes con vulnerabilidades conocidas se clasifica como la vulnerabilidad número nueve en la lista de OWASP-Top 10. Las vulnerabilidades conocidas son vulnerabilidades que se descubren y son catalogadas a través de publicaciones en https://nvd.nist.gov/.  Generalmente, estos componentes con vulnerabilidades conocidas son de código abierto. Un ejemplo claro de este tipo de vulnerabilidad fue la que afecto a la empresa Equifax siendo causada por una versión de Apache Struts que tenía una vulnerabilidad conocida desde marzo de 2017. Puede saber mas de este tipo de vulnerabilidad en este link: https://seguridad-ofensiva.com/blog/owasp-top-10/deserializacion-insegura-owasp-top-8/

Es importante recalcar que al menos el 80% de todo el software incluye componentes de código abierto. Como resultado, los componentes de terceros son un objetivo tentador para los posibles piratas informáticos.

Es conveniente preguntar ¿Cómo una empresa puede abordar este tipo de vulnerabilidad para mantener su entorno seguro?

En Seguridad-Ofensiva consideramos que la creación de una política de seguridad que incluya el análisis de software y la constante actualización de estos componentes es crucial para evitar este tipo de vulnerabilidades. De esta forma podremos asegurarnos de que no exista este tipo de vulnerabilidad en su entorno tecnológico.

¿Cómo puede ayudarme Seguridad-Ofensiva a mantener mi sitio web corporativo seguro?

Seguridad-Ofensiva pondrá a prueba sus sitios web corporativos y sus bases de datos. Utilizamos escáneres avanzados, pruebas de penetración manual y diferentes técnicas y procedimientos que pueden incluir rastreo, forzamiento bruto, revisión de código y permisos de carpeta. Hacemos todo esto en coordinación con su personal interno encargado de sus sistemas de información. Estos procedimientos son necesarios para averiguar si las posibles vulnerabilidades son falsos positivos o vulnerabilidades reales. Si son vulnerabilidades reales, le proporcionaremos métodos efectivos para parchar, actualizar o eliminar la vulnerabilidad de acuerdo con la situación para mantener su entorno seguro.

Recursos adicionales con relación a este tipo de ataque:

https://owasp.org/www-project-top-ten/OWASP_Top_Ten_2017/Top_10-2017_A9-Using_Components_with_Known_Vulnerabilities

https://cdn2.hubspot.net/hub/203759/file-1100864196-pdf/docs/Contrast_-_Insecure_Libraries_2014.pdf

https://owasp.org/www-project-dependency-check/

https://owasp.org/www-community/Virtual_Patching_Best_Practices

Algunas aplicaciones con este tipo de vulnerabilidades catalogadas por CVE:

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5638

Otras vulnerabilidades pertenecientes a OWASP

Registro y monitoreo insuficiente: https://seguridad-ofensiva.com/blog/owasp-top-10/registro-y-monitoreo-insuficiente-owasp-top-10/

Deserialización insegura: https://seguridad-ofensiva.com/blog/owasp-top-10/deserializacion-insegura-owasp-top-8/

Seguridad no configurada: https://seguridad-ofensiva.com/blog/owasp-top-10/seguridad-no-configurada-owasp-top-6/

Control de acceso vulnerable: https://seguridad-ofensiva.com/blog/owasp-top-10/control-de-acceso-vulnerable-owasp-top-5/

Entidades externas XML vulnerables: https://seguridad-ofensiva.com/blog/owasp-top-10/entidades-externas-xml-vulnerables-owasp-top-4/

Exposición de datos confidenciales: https://seguridad-ofensiva.com/blog/owasp-top-10/exposicion-de-datos-confidenciales-owasp-top-3/

Ataques en sistemas de autenticaciónhttps://seguridad-ofensiva.com/blog/owasp-top-10/ataques-en-los-sistemas-de-autenticacion/

Ataques por Inyección SQL: https://seguridad-ofensiva.com/blog/owasp-top-10/ataques-por-inyeccion-sql/

SOLUCIÓN Y PREVENCIÓN

https://seguridad-ofensiva.com/evaluaciones-de-vulnerabilidades

https://seguridad-ofensiva.com/pruebas-de-penetracion-externas

https://seguridad-ofensiva.com/pruebas-de-penetracion-en-sitios-web

 

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *