Threat Stack apresenta detecção adicional de ataques em tempo de execução

Proteção contra mais tipos de ataques de aplicativos

O Threat Stack Application Security Monitoring detecta vulnerabilidades no código e bloqueia ataques em tempo real. A maioria das soluções de segurança de aplicativos fala sobre os ataques de tempo de execução mais comuns — injeção de SQL ou XSS — por exemplo, mas as linguagens e estruturas de aplicativos web modernos também incluem algumas funções legítimas que podem ser abusadas, resultando em ataques que podem ter o mesmo impacto que esses (ou mais). O Threat Stack Application Security Monitoring protege contra SQLi e XSS, e agora estamos introduzindo detecção adicional de ataques em tempo de execução para proteger ainda mais seus aplicativos da web, microsserviços e cargas de trabalho de API contra ataques de travessia de caminho ou diretório e execução remota de código. 

Execução Remota de Código (RCE)

A execução remota de código (RCE — também conhecida como execução arbitrária de código ou ACE) permite que um invasor execute código arbitrário no servidor onde um aplicativo está sendo executado. Este é um ataque de injeção — um invasor pode passar uma string para uma função que executaria seus próprios comandos do sistema operacional. Uma boa explicação de como isso funciona em Javascript está no blog Wanago.io em https://wanago.io/2018/11/19/how-does-eval-work-and-how-is-it-evil-javascript-eval/ . Neste exemplo, a função eval pega uma string e a executa como código com os mesmos privilégios do restante do aplicativo. Imagine um invasor enviando o seguinte no formulário de inscrição do seu site como nome de usuário:

'João"); exec("rm -rf ./*"); console.log("'

Se esse valor de nome de usuário for usado em uma função eval, não será um dia muito bom!

O Threat Stack protege você do RCE de duas maneiras: no momento da compilação e no momento da execução. No momento da compilação, o microagente AppSec identifica chamadas de função que são vulneráveis a ataques RCE — coisas como eval() em Node.js ou os.fork em Python. Pode haver usos legítimos e seguros dessas funções, por isso as sinalizamos como “risco” para os desenvolvedores. Fornecemos conteúdo de eLearning que explica por que eles podem ser arriscados e oferecemos alternativas mais seguras. No entanto, em tempo de execução, identificamos tentativas de realmente explorar as vulnerabilidades. Por exemplo, se percebermos que uma dessas funções arriscadas está sendo invocada com conteúdo proveniente da web contendo uma exploração de comando shell, sinalizamos isso como um ataque e notificamos sua equipe imediatamente. Explorações de comando comuns podem consistir em comandos como kill, disable, stop, fdisk, etc. 

Percurso de caminho ou diretório 

Um ataque de travessia de caminho ou diretório permite que um invasor leia (ou em alguns casos grave) arquivos arbitrários no servidor onde um aplicativo está sendo executado — arquivos fora das pastas onde o aplicativo web reside. Isso pode incluir código-fonte do aplicativo, credenciais ou arquivos valiosos do sistema operacional. Ele funciona explorando uma técnica comum de uso de caminhos de arquivo relativos em variáveis — geralmente chamadas de sequências “ponto-ponto-barra (../)”. Por exemplo, a sequência ../ refere-se a um nível acima na estrutura do diretório. Encadeie várias dessas sequências e você poderá consultar a raiz do sistema de arquivos a partir da qual outros arquivos e diretórios podem ser acessados. 

Há muitos usos legítimos para sequências de ponto-ponto-barra, então seria irritante se qualquer uso delas fosse sinalizado como um risco (como você pode ver em uma ferramenta SAST). Em vez disso, o Threat Stack AppSec Monitoring analisa tanto a função que o utiliza quanto a carga útil que está sendo passada para a função em tempo de execução. Por exemplo, em um aplicativo Node.js usando comandos como fs.open/read/write/etc. , a carga útil passada para a função pode ser verificada quanto à codificação do caminho do diretório ou referências a arquivos confidenciais do sistema operacional. Uma função arriscada com uma carga maliciosa será sinalizada como um ataque, e sua equipe será notificada imediatamente.

Parte de uma solução de observabilidade de segurança de pilha completa

Os invasores não pensam em camadas; eles não se concentram apenas em aplicativos, ignorando os contêineres onde eles são executados ou o serviço de nuvem onde estão hospedados. Um ataque RCE, por exemplo, pode resultar na execução de processos não autorizados em um host. Ou um ataque de travessia de caminho pode comprometer arquivos confidenciais de credenciais do host da nuvem. É importante ser capaz de detectar esses e outros ataques de aplicativos em tempo de execução, mas é essencial habilitar a observabilidade de segurança em todas as suas superfícies de ataque, independentemente de sua complexidade ou de como sua infraestrutura muda. Esse é o poder do AppSec Monitoring como parte da Threat Stack Cloud Security Platform® completa.   

Se você quiser saber mais sobre a Threat Stack Cloud Security Platform, incluindo seus recursos de segurança de aplicativos, sinta-se à vontade para se inscrever para uma demonstração. Nossos especialistas em segurança e conformidade ficarão felizes em discutir os requisitos da sua organização.