Redazione RHC : 9 septiembre 2025 07:54
En una prueba de seguridad, los investigadores de Ethiack encontraron una forma de eludir incluso los firewalls de aplicaciones web más estrictos mediante una técnica inusual: inyección de JavaScript mediante contaminación de parámetros HTTP. El sujeto de la prueba era una aplicación ASP.NET con las reglas de filtrado más estrictas. Cualquier intento de inyectar construcciones XSS estándar fue bloqueado, pero gracias a las peculiaridades del procesamiento de parámetros duplicados, los investigadores pudieron recopilar una carga útil funcional que el firewall ni siquiera había detectado.
La clave de la solución alternativa fue que el método ASP.NET HttpUtility.ParseQueryString() combina parámetros idénticos mediante comas.
Por lo tanto, una cadena de consulta como q=1’&q=alert(1)&q=’2 se convierte en la secuencia 1′,alert(1),’2. Al insertarse en JavaScript, se convierte en jsuserInput = ‘1’,alert(1),’2; –, es decir, el código se vuelve sintácticamente correcto y el operador de coma invoca la alerta. Este comportamiento permite que los fragmentos maliciosos se distribuyan entre múltiples parámetros y eludan las comprobaciones de firmas tradicionales.
Mientras que ASP.NET y ASP clásico combinan valores, otras plataformas como Golang o Python Zope trabajan con matrices, por lo que la técnica no es aplicable en todas partes. Para verificar su robustez, se probaron diecisiete configuraciones de diferentes proveedores: AWS WAF, Google Cloud Armor, Azure WAF, open-appsec, Cloudflare, Akamai, F5, FortiWeb y NGINX App Protect. Se utilizaron cuatro tipos de carga útil, desde inyecciones simples como q=’;alert(1) hasta otras más complejas con delimitadores y omisiones heurísticas. Solo Google Cloud Armor con ModSecurity, el conjunto de reglas predeterminadas 2.1 de Azure WAF y todos los niveles de sensibilidad de seguridad de aplicaciones abiertas lograron bloquear por completo todas las variantes. Mientras tanto, las soluciones de AWS WAF, F5 y Cyber Security Cloud fallaron en todos los escenarios. La tasa general de omisión aumentó del 17,6 % para una solicitud de inyección básica al 70,6 % para la contaminación avanzada de parámetros.
El bot de hacking autónomo utilizado por los investigadores logró encontrar una solución alternativa para las soluciones que superaron las pruebas manuales. En Azure WAF, logró explotar el procesamiento inconsistente de caracteres de escape mediante la secuencia test’;alert(1);//. En open-appsec, la herramienta encontró una opción funcional en medio minuto, incluso para el perfil «crítico», cambiando las llamadas de alerta a confirmación y utilizando construcciones más inteligentes como q=’+new Function(‘a’+’lert(1)’)()+’. En el caso de Google Cloud Armor, no se pudo eludir el filtro, pero el análisis mostró que la lógica del servidor distingue entre mayúsculas y minúsculas, lo que podría generar vulnerabilidades en el futuro.
Los hallazgos de los investigadores de seguridad destacan las limitaciones sistémicas de los WAF basados en firmas e incluso los heurísticos. La detección integral de ataques distribuidos multiparamétricos requiere una comprensión profunda de la lógica y el análisis de un marco específico en el contexto de JavaScript, lo cual es difícil de implementar a nivel de proxy.
Los intentos de implementar aprendizaje automático tampoco garantizan la sostenibilidad, ya que los bots adaptativos se adaptan rápidamente y encuentran patrones seguros por sí mismos.
En última instancia, los investigadores nos recuerdan que los firewalls no pueden ser la única barrera: la validación de entrada, un blindaje adecuado y prácticas de desarrollo sólidas son necesarios. La combinación de creatividad humana y herramientas automatizadas demuestra la rapidez con la que se pueden exponer incluso las vulnerabilidades no estándar y por qué las pruebas continuas siguen siendo esenciales.
RedazioneExpertos de Palo Alto Networks han identificado un nuevo grupo de hackers vinculado al Partido Comunista Chino. Unit 42, la división de inteligencia de amenazas de la compañía con sede en Californi...
Los sistemas de Inteligencia Artificial Generativa (GenAI) están revolucionando la forma en que interactuamos con la tecnología, ofreciendo capacidades extraordinarias en la creación de texto, imá...
La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) ha añadido una vulnerabilidad crítica en la popular utilidad Sudo, utilizada en sistemas Linux y similares a Unix...
El Departamento de Justicia de EE. UU. recibió autorización judicial para realizar una inspección remota de los servidores de Telegram como parte de una investigación sobre explotación infantil. ...
Importantes agencias de todo el mundo han alertado sobre una amenaza crítica a la infraestructura de red: vulnerabilidades en los dispositivos Cisco Adaptive Security Appliance (ASA) y Firepower han ...
