Esta semana analizamos el cuarto punto del OWASP TOP 10: Entidades externas XML. Estas entidades pueden significar una amenaza, ya que se pueden utilizar para revelar archivos, escanear puertos de LAN, realizar ataques DoS, entre otros. El XML es un metalenguaje, similar a HTML, de ‘marcado de propósito general’, eso quiere decir que no está […]
Esta semana analizamos el cuarto punto del OWASP TOP 10: Entidades externas XML. Estas entidades pueden significar una amenaza, ya que se pueden utilizar para revelar archivos, escanear puertos de LAN, realizar ataques DoS, entre otros.
El XML es un metalenguaje, similar a HTML, de ‘marcado de propósito general’, eso quiere decir que no está predefinido, por lo que las etiquetas las construyes tu. Documentos de texto, páginas web, bases de datos, son algunos campos de acción del sistema XML. Un atacante podría explotar procesadores de lenguaje XML si carga o modifica un documento XML con contenido hostil, explotando código vulnerable.
Por lo general los procesadores XML que están mal configurados, o que simplemente son antiguos, evalúan referencias a entidades externas en documentos XML:
Las entidades externas pueden utilizarse para revelar archivos internos mediante la URI, o archivos internos en servidores no actualizados, escanear puertos LAN, ejecutar código de forma remota y realizar ataques de denegación de servicio (DoS).
Muchos procesadores XML antiguos (vienen predeterminados así) permiten la especificación de una entidad externa, una URI que se referencia y evalúa durante el procesamiento XML. Las herramientas SAST pueden descubrir estos problemas inspeccionando las dependencias y la configuración, pero requieren algunos pasos extras que son manuales, pero que sirven para detectar y explotar estos problemas.
Básicamente pueden extraer datos, ejecutar una solicitud remota desde el servidor, escanear sistemas internos, realizar un ataque de denegación de servicio, por nombrar algunos ataques.
Owasp entrega este ejemplo, donde se muestra un atacante intentando obtener datos de un servidor:
Por ende, es necesario que sepas que tu aplicación/sistema basado en XML puede ser vulnerable si:
Recientemente la Organización de Estados Americanos (OEA) liberó su whitepaper “Oportunidades y Desafíos para las PYMEs en el contexto de una mayor adopción de las TICs”, en donde discute principalmente temas relacionados a la ciberseguridad y las medianas y pequeñas empresas en Latinoamérica.