Una vulnerabilidad de suplantación de IP en Django REST habría permitido a los actores de amenazas evadir la función de limitación del marco, pensada para proteger las aplicaciones contra solicitudes masivas. Django REST es un conjunto de herramientas popular para desarrollar API web y lo utilizan Mozilla, Red Hat y Heroku, entre otros.
Esta característica está destinada a proteger las aplicaciones contra la actividad de los bots, los ataques de denegación de servicio (DoS) y otras variantes de actividad maliciosa, como ataques de fuerza bruta e intentos de restablecimiento de contraseñas.
Django REST usa direcciones IP para identificar clientes y aplicar los límites de solicitud de aceleración. Según el reporte de Hosein Vita, los clientes pueden engañar al servidor y enmascarar su dirección IP cambiando los encabezados de sus solicitudes: “Django usa WSGI para sus comunicaciones con la aplicación web, además del encabezado HTTP X-Forwarded-For y la variable WSGI REMOTE_ADDR para identificar de manera única las direcciones IP de los clientes para la limitación”, señala el experto.
Si una solicitud web incluye el encabezado X-Forwarded-For, el servidor considerará que esa es la dirección IP del cliente; al usar diferentes valores para X-Forwarded-For, fue posible enviar solicitudes ilimitadas con el mismo cliente. Este esquema solo funciona en solicitudes no autenticadas.
Vita agrega que los actores de amenazas no requieren de un acceso especial al servidor afectado, pues basta con identificar el sitio web vulnerable para la explotación. Si bien el principal problema son los ataques DoS, los hackers también podrían evadir mecanismos de seguridad contra ataques de fuerza bruta y otras variantes de hacking similares.
Aunque el equipo detrás de Django REST API fue contactado para conocer su postura oficial, nadie se ha pronunciado al respecto. Mientras tanto, el experto recomienda a los usuarios de implementaciones afectadas aplicar medidas complementarias para proteger las aplicaciones contra ataques de fuerza bruta, ya sean cuadros CAPTCHA u otros métodos similares.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad