Cómo las vulnerabilidades de autenticación de API están en el centro de las preocupaciones de seguridad en la nube

Aug 25, 2023

Los servicios en la nube de Microsoft han sido objeto de escrutinio en los últimos meses, con las API en el centro del asunto. A continuación se presentan algunas estrategias para ayudar a mitigar los problemas de seguridad que pueden surgir al usar API.

Los cielos de la computación en la nube están últimamente algo tormentosos para Microsoft, que se encuentra en el punto de mira no sólo de un atacante que abusó de la autenticación, sino también de la empresa Tenable, que señaló que el gigante de los servicios en la nube tiene un problema generalizado con la autenticación. Una publicación de Microsoft y un artículo de Tenable resaltaron el problema de la autenticación en la nube y arrojaron luz sobre algunas de sus debilidades.

En la publicación de Tenable, Microsoft fue criticado por su falta de transparencia en la seguridad de la nube. Como lo describe el CEO de Tenable, Amit Yoran, el problema en cuestión "se produjo como resultado de un control de acceso insuficiente a los hosts de funciones de Azure, que se inician como parte de la creación y operación de conectores personalizados en Power Platform de Microsoft (Power Apps, Power Automation). "

Si adivinara una URL de Azure, podría obtener acceso incluso sin autenticación. Como escribió Yoran: "Por lo tanto, era posible que un atacante que determinara el nombre de host de la función de Azure asociada con el conector personalizado interactuara con la función, tal como se define en el código del conector personalizado, sin autenticación. Con uno de esos nombres de host, un atacante podría determinar los nombres de host para Azure Functions asociados con los conectores personalizados de otros clientes, ya que solo se diferenciaban por un número entero".

Por su parte, Microsoft indicó en una nota técnica que había mitigado la vulnerabilidad de divulgación de información del Código personalizado de Power Platform y había notificado a los clientes afectados sobre este problema a través del Centro de administración de Microsoft 365 (MC665159) a partir de agosto de 2023, si no recibió la notificación, no se requiere ninguna acción.

Las interfaces de programación de aplicaciones (API), que ofrecen un servicio o conexión entre otras piezas de software sin requerir un inicio de sesión humano, están en el centro del problema. Con las API, suele ser difícil acceder a la seguridad hasta que sucede algo.

Las organizaciones a menudo necesitan contratar consultores especializados para revisar el software y asegurarse de que no haya vulnerabilidades obvias. Desde software de código abierto hasta software propietario, a menos que sea revisado por especialistas, la revisión del proveedor por sí sola no suele ser suficiente para encontrar problemas.

El Top 10 de seguridad de API de OWASP enumera los principales problemas típicos que debe buscar al tratar con API. Desde la autorización rota a nivel de objeto hasta el consumo inseguro de API, señala que con demasiada frecuencia con las API simplemente confiamos demasiado en su uso. También tendemos a limitar raramente el uso de API porque ofrecemos un servicio que puede ser utilizado por un público más amplio. Si el uso de API no será utilizado por el público en general, considere usar tecnologías adicionales actualmente en versión beta que puedan brindar protección y defensa adicionales.

Algunas de estas soluciones, sin embargo, aún no se utilizan de forma generalizada y todavía se encuentran en versión preliminar pública. Un ejemplo de ello es la solución IP Firewall de Microsoft, actualmente en versión preliminar en entornos Power Platform. Como se indica en la documentación de Microsoft, ayuda a mitigar las amenazas internas, como la filtración de datos, en tiempo real. "Un usuario malintencionado que intenta descargar datos de Dataverse utilizando una herramienta cliente, como Excel o Power BI, no puede descargar los datos según la ubicación IP".

IP Firewall también ayuda a detener los ataques de reproducción de tokens desde fuera de los rangos de IP configurados. "Si un usuario roba un token e intenta usarlo para acceder a Dataverse desde fuera de los rangos de IP configurados, Dataverse deniega el acceso en tiempo real", IP Firewall funciona tanto para escenarios interactivos como no interactivos, está disponible para entornos administrados. y es compatible con cualquier entorno de Power Platform que incluya Dataverse.

A menudo, con las API los problemas de seguridad se reducen a lo básico:

Permisos. No pase por alto los conceptos básicos de los permisos API y no permita que sean demasiado permisivos con los servicios en la nube. Al igual que en el acceso de los usuarios, los aspectos básicos de los permisos a menudo pueden provocar exposición o ataques. Limitar el uso del acceso al mínimo requerido.

No pase por alto los conceptos básicos de la aplicación de parches. Es necesario actualizar el software de cualquier tipo y las implementaciones en la nube no son diferentes. Asegúrese de saber cómo se debe implementar el software más nuevo: las técnicas de parcheo tradicionales pueden funcionar para algunos, pero otras pueden requerir una nueva implementación. Revise las opciones con su proveedor.

Habilita solo lo que necesitas . Para limitar los costos y el acceso, habilite solo las funciones que sean críticas para su implementación. Si ha habilitado una función y luego se da cuenta de que no la necesita, asegúrese de desactivar la configuración.

Esté atento a las solicitudes.Revise las solicitudes entrantes y los archivos de registro y revise si hay discrepancias en la forma en que se realizan las solicitudes.

Hacer cumplir la transmisión segura.Asegúrese de que se sigan los conceptos básicos de la transmisión segura, incluida la habilitación de la seguridad de la capa de transporte (TLS).

Monitorear el control de caché.Las directivas de seguridad o control de caché, instrucciones que controlan cómo los navegadores y otros intermediarios almacenan en caché y validan los recursos web, deben configurarse para los clientes.

Vigile sus políticas.Busque políticas faltantes o establecidas incorrectamente para el intercambio de recursos entre orígenes.

¿Qué comunican los mensajes de error?Los mensajes de error deben revisarse por su potencial de exponer información confidencial.

Por supuesto, las API también pueden ser vulnerables a lo que casi todo lo demás en tecnología es vulnerable: contraseñas débiles de las que se puede abusar. Por lo tanto, las API deben codificarse para que no permitan contraseñas débiles y no estén expuestas al relleno de credenciales. Además, se deben bloquear las contraseñas con hash débil.

Debe revisar su aplicación para conocer todos los flujos de autenticación que se pueden utilizar, desde aplicaciones de escritorio hasta dispositivos móviles e implementaciones de inicio de sesión único. Establezca un cronograma de revisión periódicamente para asegurarse de revisar varios mecanismos. Asegúrese de que, si se accede a información confidencial, se requiera una autenticación adicional. Por lo tanto, el acceso para cambiar la información de la cuenta debe tener un mandato de autenticación adicional.

Finalmente, asegúrese de tener una implementación para la autenticación de dos factores y siga revisando cómo se implementa. Si simplemente ofrece SMS como una metodología de dos factores, eso no es suficiente para necesidades futuras. Si bien cualquier implementación de dos factores es mejor que ninguna, esté siempre atento a mejorar las técnicas de autenticación.

Eso incluye presionar a sus proveedores para que mejoren y le brinden información más oportuna. Claramente, Microsoft necesita mejorar: ¿el resto de sus proveedores también le brindan la información que necesita? Supongo que todos debemos hacerlo mejor.