Vulnerabilidad crítica en CRS estuvo presente durante años en los firewalls de aplicaciones web de Drupal, WordPress, Nextcloud, Dokuwiki, CPanel y Xenforo

Especialistas en ciberseguridad reportan la detección de una vulnerabilidad en OWASP ModSecurity Core Rule Set (CRS) cuya explotación permitiría a los actores de amenazas esquivar los mecanismos de seguridad en las implementaciones afectadas, incluso los firewalls de aplicaciones web (WAF). La falla fue identificada como CVE-2021-35368 y al parecer permaneció varios años sin ser actualizada.

El error permitiría que las cargas útiles del cuerpo de solicitudes maliciosas puedan pasar el conjunto de reglas sin ser inspeccionadas, debido a una combinación de dos errores en el paquete de exclusión de reglas de CRS Drupal. Cabe mencionar que la vulnerabilidad no se limita a las instalaciones de Drupal, sino que está presente en todas las instalaciones de CRS que incluyen estas exclusiones de reglas, independientemente de si están habilitadas o no.

El reporte menciona que los riesgos para lo sitios web en Drupal dependen de su configuración en ModSecurity: “Si el backend está roto y configurado con la configuración de información de nombre de ruta final correcta, cualquier riesgo de seguridad es posible”, aseguran los expertos.   

Al respecto, Christian Folini, uno de los responsables del proyecto Core Rule Set, mencionó: “La falla ha existido durante años; cuando hicimos los primeros paquetes de exclusión no estábamos acostumbrados a emplear las técnicas para la redacción de reglas que debíamos emplear.”

El desarrollador menciona que tampoco contaban con pautas de codificación, por lo que nadie revisó esa parte del código: “El fracaso es obvio; la parte importante ahora es demostrar que aprendimos la lección, además de adoptar un proceso de desarrollo y revisión de código realmente funcional en el futuro”, menciona Folini.

La falla fue reportada por Andrew Howe de Loadbalancer.org, quien analizó a profundidad ModSecurity cuando se unió al proyecto el año pasado. Howe informó los dos errores en CRS en junio. Todas las instalaciones de CRS conocidas que ofrecen los paquetes de exclusión de reglas de CRS predefinidos se ven comprometidas, lo cual se aplica a las versiones 3.0.x, 3.1.0, 3.1.1 de CRS hasta la última versión que recibió actualizaciones, así como a las versiones actualmente compatibles 3.2.0 y 3.3.0.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).