Investigadores muestran cómo eludir completamente el firewall de aplicaciones web ModSecurity 3

Un reporte de ciberseguridad asegura que las instalaciones de firewall de aplicaciones web (WAF) ModSecurity 3 pueden ser esquivadas por actores de amenazas con un método relativamente sencillo. Acorde al reporte, estas fallas solo residen en esta versión del conjunto de reglas, por lo que ModSecurity 2, versión anterior, está exenta del problema.

Este es un riesgo que los investigadores deben considerar. Acorde a Ervin Hegedüs, experto que encontró el problema, esta condición fue reportada hace más de tres meses y no se han lanzado las actualizaciones necesarias, por lo que decidió publicar sus hallazgos para que la comunidad de la ciberseguridad comience una campaña de concientización.

Aún así Trustwave, compañía desarrolladora de ModSecurity, negó la existencia de tales fallas, describiendo este problema como un simple riesgo inherente a una configuración avanzada en específico.

ModSecurity es una solución WAF de código abierto de gran popularidad y que fue diseñada para funcionar mediante la aplicación de reglas preestablecidas. Los administradores pueden crear sus propias reglas personalizadas p desplegar librerías existentes, como OWASP ModSecurity Core Rule Set (CRS). 

Al respecto Christian Folini, codirector del proyecto CRS, declaró: “Si ejecuta CRS o uno de los conjuntos de reglas de ModSecurity comerciales conocidos y deshabilita Request Body Access para WAF, entonces ha configurado un bypass WAF completo. Esto se debe a que omitir el acceso al cuerpo de la solicitud se implementa como omitir la fase del cuerpo de una solicitud del procesamiento de reglas en ModSecurity 3”.

Como se menciona anteriormente, ModSecurity es mantenido por la compañía de seguridad Trustwave. En respuesta a múltiples solicitudes de información, Trustwave emitió un comunicado mencionando que esta no es una falla de seguridad, sino que el problema se presenta debido a la forma en que se activa una configuración avanzada: “Esta configuración puede usarse para deshabilitar una parte significativa del flujo de trabajo de ModSecurity y solo debe ser utilizada por usuarios experimentados, como se indica en la documentación”.

No obstante, Follini sostiene su versión explicando que es complicado establecer un mecanismo de defensa para prevenir la explotación de esta falla: “Los desarrolladores de ModSecurity no han lanzado solución alguna para corregir este problema, a pesar de haber recibido un informe completo al respecto desde el 2 de diciembre”, menciona.

Por otra parte, Follini también reconoce que menos del 20% de todas las instalaciones globales de ModSecurity opera con esta configuración vulnerable habilitada: “Los administradores pueden deshabilitar el acceso al cuerpo de solicitud por razones de rendimiento en algunos casos (intercambiar seguridad por rendimiento, manteniendo algo de seguridad), o solo mostrarse interesados en ciertos tipos de reglas”.