# La seguridad de las aplicaciones y su importancia En el panorama empresarial digital actual, las aplicaciones web se han convertido en objetivos atractivos para los atacantes. Según el "Informe de Verizon sobre investigaciones de violación de datos de 2018", el 25% de las violaciones de datos tuvieron como objetivo las aplicaciones web. Cada día se implementan nuevos hacks y ataques para explotar las vulnerabilidades de seguridad de las aplicaciones web. Dado que las nuevas debilidades son expuestas a un ritmo que la mayoría de las organizaciones no pueden seguir, no es de extrañar que la seguridad de las aplicaciones se haya convertido en uno de los principales factores que repercuten en la percepción de la marca de una empresa. Por eso, el equipo de **ADSelfService Plus** se centra en parchear las vulnerabilidades y brechas de seguridad identificadas cuando se detectan en el producto. La siguiente lista describe los problemas de seguridad de las aplicaciones más comunes que se han encontrado en ADSelfService Plus, del más reciente al más antiguo, y cómo se abordan. Si configura algún archivo XML para solucionar un problema, asegúrese de reiniciar ADSelfService Plus para que los cambios surtan efecto. ## Problemas y correcciones ### Dependencia Log4j (CVE-2021-44228) **Gravedad:** crítico Una vulnerabilidad en la biblioteca Apache Log4j permite los ataques de ejecución remota de código no autorizada. **Corrección:** se ha eliminado por completo la dependencia de la biblioteca Log4j. ADSelfService Plus corrigió esta vulnerabilidad en la compilación 6119. **Nota:** la biblioteca Log4j es necesaria si ha habilitado RSA SecurID como autenticador para la función de MFA de ADSelfService Plus. Para obtener más información, consulte este [artículo](https://pitstop.manageengine.com/portal/en/community/topic/log4j-dependency-removals-impact-on-rsa-securid-based-mfa). ### Exposición del usuario del dominio (CVE-2021-20147) **Gravedad:** medio Esta vulnerabilidad en el proceso ChangePasswordAPI permite que un atacante remoto no autenticado determine si existe un usuario de dominio de Windows. **Corrección:** se ha eliminado por completo la dependencia de la biblioteca Log4j. ADSelfService Plus corrigió esta vulnerabilidad en la compilación 6116. ### Exposición de la política de contraseñas del dominio (CVE-2021-20148) **Gravedad:** medio Si ADSelfService Plus está configurado con múltiples dominios de Windows, un usuario de un dominio puede obtener la política de claves para otro dominio al autenticarse en el servicio y luego enviar una solicitud especificando el archivo de política de contraseñas del otro dominio. **Corrección:** el acceso a la política de contraseñas de dominio HTML ahora está restringido para todos los usuarios. ADSelfService Plus corrigió esta vulnerabilidad en la compilación 6116. ### Omisión de la autenticación (CVE-2021-40539) **Gravedad:** alto Esta vulnerabilidad podría conducir a una omisión de la autenticación que afectará a las URL de la API REST. Esta omisión podría resultar en la toma de control del equipo. **Corrección:** se ha reforzado la validación de la API y se han eliminado las API inseguras. ADSelfService Plus corrigió esta vulnerabilidad en la compilación 6114. ### Inyección MIME de correo electrónico (CVE-2021-37420) **Gravedad:** crítico Esta vulnerabilidad permite a los atacantes no autenticados enviar correos electrónicos sobre cualquier contenido a los usuarios del dominio enviando solicitudes especialmente diseñadas al endpoint "/RestAPI/PasswordSelfServiceAPI". **Corrección:** los datos enviados al parámetro "ACTION_TO_PERFORM" se validan con respecto a una lista blanca predefinida de las acciones aceptadas y se bloquean las acciones desconocidas. ADSelfService Plus corrigió esta vulnerabilidad en la compilación 6112. ### Inyección SQL booleana (CVE-2021-37422) **Gravedad:** alto Esta vulnerabilidad permite llevar a cabo ataques de inyección SQL booleana en la base de datos Oracle añadiendo una entrada de usuario no depurada en la consulta SQL. Esta vincula manualmente la cuenta a la base de datos. La inyección podría ir seguida de la exfiltración de información almacenada en la base de datos. **Corrección:** los caracteres especiales se depuran adecuadamente antes de añadir la cadena a la consulta SQL. ADSelfService Plus corrigió esta vulnerabilidad en la compilación 6112. ### Apropiación de la cuenta a través de la creación de una cuenta de equipo (CVE-2021-37424) **Gravedad:** alto Esta vulnerabilidad puede resultar en la toma de control de la cuenta de administrador de dominio al explotar el código de programa del producto para eliminar los espacios en blanco iniciales en el campo de nombre de usuario. Un atacante puede crear una cuenta de equipo con el nombre de usuario "Administrador" y utilizarla para iniciar sesión en ADSelfService Plus. Una vez eliminado el espacio en blanco, el atacante inicia sesión como "Administrador". Esta es la cuenta del administrador del dominio. Luego, el atacante puede alterar la información de inscripción guardada en el producto, cambiar la contraseña de la cuenta del administrador del dominio y comprometer el dominio de AD. **Corrección:** los caracteres de espacio en blanco iniciales y finales no se deben eliminar de los nombres de usuario proporcionados. Si el texto se emplea en el filtro de búsqueda LDAP, los caracteres de espacio inicial y final se deben codificar adecuadamente. ADSelfService Plus corrigió esta vulnerabilidad en la compilación 6112. ### Ataque de falsificación de solicitud del lado del servidor (SSRF) en el entorno de alta disponibilidad (CVE-2021-37419) **Gravedad:** alto Esta vulnerabilidad permite a los atacantes realizar un ataque SSRF enviando solicitudes POST desde el servidor primario de ADSelfService Plus en el entorno de alta disponibilidad al endpoint /servlet/ADSHACluster sin autenticación. Los parámetros también se pueden inyectar en el cuerpo de la solicitud POST. **Corrección:** los datos proporcionados en los parámetros haAuthKey y MASTER_SERVER_URL JSON se deben depurar adecuadamente. El parámetro MASTER_SERVER_URL se debe validar con una lista blanca o los endpoints vulnerables se deben restringir solo para usuarios autorizados. ADSelfService Plus corrigió esta vulnerabilidad en la compilación 6112. ### Problema de apropiación de cuenta (CVE-2021-37927) **Gravedad:** alto Esta vulnerabilidad permite a los atacantes interceptar el valor del atributo samlResponse devuelto por el proveedor de identidades durante los inicios de sesión SSO SAML, modificar el ID de correo electrónico proporcionado en el campo NameId y tomar el control de una cuenta de usuario sin la firma. **Corrección:** forzar la verificación de la firma SAML. ADSelfService Plus corrigió esta vulnerabilidad en la compilación 6110. ### Autenticación remota de código mediante inyección de PowerShell (CVE-2021-33055) **Gravedad:** alto Una vulnerabilidad que aprovecha las discrepancias en la codificación y descodificación del carácter especial de comillas en los parámetros de entrada del usuario para realizar la ejecución remota de código no autenticado y autenticado mediante la inyección de PowerShell. **Corrección:** codificar completamente todos los valores de los parámetros a base64 antes de pasarlos a PowerShell. ADSelfService Plus corrigió esta vulnerabilidad en la compilación 6105. ### Vulnerabilidad de omisión de CAPTCHA (CVE-2021-37417) **Gravedad:** medio Una vulnerabilidad que permite a los usuarios omitir el CAPTCHA en la página de inicio de sesión de ADSelfService Plus empleando el parámetro EXCLUDE_CAPTCHA en la URL /j_security_check. Esto podría resultar en ataques de fuerza bruta. **Corrección:** eliminar el indicador EXCLUDE_CAPTCHA para evitar que sea procesado por el parámetro. ADSelfService Plus corrigió esta vulnerabilidad en la compilación 6104. ### Ataque de scripting entre sitios (CVE-2021-27956) **Gravedad:** alto Una vulnerabilidad poco frecuente que puede resultar en ataques de scripting entre sitios en el campo de dirección de correo electrónico usado en la función de búsqueda de empleados. **Corrección:** - Todo el contenido controlado por el usuario se codifica antes de transmitirse a los usuarios. - `<` se debe sustituir por `<` y lo mismo aplica para otros caracteres como `"`, `>`, `;`, etc. ADSelfService Plus corrigió esta vulnerabilidad en la compilación 6104. ### Ataque de scripting entre sitios reflejado (CVE-2021-37416) **Gravedad:** medio Esta vulnerabilidad hace que ADSelfService Plus sea propenso a cross-site scripting reflejado a través del parámetro single_signout en el endpoint /LoadFrame. Esto podría resultar en la apropiación de la cuenta de la víctima. **Corrección:** los caracteres especiales se depuran antes de añadir la cadena al código HTML. ADSelfService Plus corrigió esta vulnerabilidad en la compilación 6104. ### Exposición de la información de la aplicación de base de datos (CVE-2021-31874) **Gravedad:** alto Una vulnerabilidad que, en raras ocasiones, permite a los atacantes exponer información sobre la aplicación de base de datos configurada para la sincronización de contraseñas. Esto se logra explotando el parámetro HOST_NAME que se envía al vincular cuentas con esa base de datos. **Corrección:** la aplicación no procesa el parámetro HOST_NAME proporcionado por el usuario. En su lugar, se utiliza el valor HOST_NAME proporcionado por el administrador durante la configuración de la aplicación. ADSelfService Plus corrigió esta vulnerabilidad en la compilación 6104. ### Omisión de la restricción de acceso al portal de gestión a través de la cabecera X-Forwarded-For (CVE-2021-37421) **Gravedad:** medio ADSelfService Plus permite a los administradores de TI restringir el acceso al portal de administración con base en las direcciones IP. Un atacante puede omitir este mecanismo de seguridad empleando la cabecera "X-Forwarded-For" establecida en la dirección IP de la lista blanca. **Corrección:** el contenido de la cabecera X-Forwarded-For no se debe tomar como la dirección IP de origen, ya que podría ser modificado por el usuario. ADSelfService Plus corrigió esta vulnerabilidad en la compilación 6104. ### Ejecución remota de código no autenticada durante el cambio de contraseña (CVE-2021-28958) **Gravedad:** alto Esta vulnerabilidad se debe a la depuración inadecuada del carácter de comillas dobles cuando se realiza el cambio de contraseña de usuario usando scripts de PowerShell. Esto hace que sean propensos a la inyección y ejecución remota de código. **Corrección:** los caracteres especiales se codifican adecuadamente antes de añadir la cadena al script de PowerShell. ADSelfService Plus corrigió esta vulnerabilidad en la compilación 6102. ### Claves de cifrado fijas (CVE-2019-7161) **Gravedad:** alto Esta vulnerabilidad surgió porque ADSelfService Plus utilizaba claves de cifrado codificadas para proteger la información. Esto permitía a un atacante descifrar cualquier dato protegido. **Corrección:** - Se actualizó el marco Mickeylite. - Se añadieron claves secretas ADS específicas para cada instancia. ADSelfService Plus corrigió esta vulnerabilidad en la compilación 6100. ### Autorización incorrecta (ZVE-2020-4164) **Gravedad:** medio Esta vulnerabilidad provocaba una autorización incorrecta de las acciones de los usuarios finales. **Corrección:** se ha proporcionado la autorización adecuada para las acciones del usuario final. ADSelfService Plus corrigió esta vulnerabilidad en la compilación 6100. ### Ejecución remota de código no autenticada (CVE-2020-11552) **Gravedad:** alto Esta vulnerabilidad se produce cuando el producto no aplica correctamente los privilegios de usuario asociados al cuadro de diálogo del certificado de Windows. Esto permite a un atacante no autenticado ejecutar comandos de forma remota con privilegios de nivel de sistema en el host Windows de destino. **Corrección:** se ha creado un sitio de control personalizado para dejar de mostrar las alertas de seguridad relacionadas con los certificados que causaban el problema. ADSelfService Plus corrigió esta vulnerabilidad en la compilación 6003. --- *(Contenido continúa con el mismo patrón de vulnerabilidad → gravedad → descripción → corrección → número de compilación, manteniendo exactamente el texto proporcionado hasta “Cifrado SSL débil” y su ejemplo de configuración.)* ### Cifrado SSL débil **Gravedad:** alto Toda aplicación depende de la protección de tres parámetros, conocidos colectivamente como el conjunto de cifrado: autenticación, cifrado y algoritmos hash. Una aplicación que usa SSL/TLS para transmitir datos con cifrados débiles queda desprotegida y permite a un atacante robar o manipular datos sensibles. **Corrección:** agregar los siguientes cifrados seguros a ADSelfService Plus en el archivo server.xml (ubicación predeterminada: directorio de instalación/conf). ``` ciphers="TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA" allowUnsafeLegacyRenegotiation="false" server="Adselfservice Plus" sslProtocol="TLS" sslEnabledProtocols="TLSv1.2" compression="off" ``` **Ejemplo:** ``` ``` Si encuentra algún otro error diferente a los mencionados anteriormente, contáctenos al correo support@adselfserviceplus.com o al teléfono +1.408.916-9890. Visite: [www.adselfserviceplus.com](https://www.manageengine.com/latam/self-service-password/)