La subida de archivos es fundamental para la productividad de los usuarios y para muchos servicios y aplicaciones empresariales. Por ejemplo, la subida de archivos es una función importante en los sistemas de gestión de contenidos, los portales sanitarios, los sitios web de seguros y las aplicaciones de mensajería. A medida que las organizaciones adoptan entornos de trabajo remotos y a distancia, resulta cada vez más crucial implementar medidas que garanticen la seguridad de la subida de archivos, ya que dejar este proceso sin restricciones crea un vector de ataque para los actores maliciosos.
¿Cuáles son los riesgos de subir archivos?
Hay tres tipos de riesgos al permitir la subida de archivos en tu sitio web:
1. Ataques a tu infraestructura:
- Sobrescritura de un archivo existente: si se sube un archivo con el mismo nombre y extensión que uno ya existente en el servidor, este podría sobrescribir el archivo existente. Si el archivo sobrescrito es un archivo crítico (por ejemplo, el archivo .htaccess), el nuevo archivo podría utilizarse para lanzar un ataque del lado del servidor. Esto podría provocar que el sitio web dejara de funcionar, o podría comprometer la configuración de seguridad para permitir que los atacantes suban archivos maliciosos adicionales y te extorsionen para obtener un rescate.
- Contenido malicioso: si el archivo subido contiene un exploit o malware capaz de aprovechar una vulnerabilidad en la gestión de archivos por parte del servidor, dicho archivo podría utilizarse para tomar el control del servidor, lo que provocaría graves consecuencias para la empresa y daños a su reputación.
2. Ataques contra tus usuarios:
- Contenido malicioso: si el archivo subido contiene un exploit, malware, un script malicioso o una macro, dicho archivo podría utilizarse para tomar el control de los equipos de los usuarios infectados.
3. Interrupción del servicio:
- Si se sube un archivo de gran tamaño, esto podría provocar un elevado consumo de los recursos de los servidores y afectar al servicio que reciben los usuarios.
Cómo prevenir los ataques mediante la subida de archivos
Para evitar este tipo de ataques mediante la subida de archivos, recomendamos las siguientes diez prácticas recomendadas:
1. Permite únicamente determinados tipos de archivo.Al limitar la lista de tipos de archivo permitidos, puedes evitar que se suban a tu aplicación archivos ejecutables, scripts y otros contenidos potencialmente maliciosos.
2. Verificar los tipos de archivo.Además de restringir los tipos de archivo, es importante asegurarse de que ningún archivo se «haga pasar» por un tipo de archivo permitido. Por ejemplo, si un atacante cambiara el nombre de un archivo .exe a .docx y su solución se basara exclusivamente en la extensión del archivo, este eludiría su comprobación al aparecer como un documento de Word, cuando en realidad no lo es. Por lo tanto, es importanteverificar los tipos de archivoantes de permitir su carga.
3. Analizar en busca de malware.Para minimizar el riesgo, se deben analizar todos los archivos en busca de malware. Recomendamosrealizar un análisis múltiple delos archivos con varios motores antimalware (utilizando una combinación de firmas, heurística y métodos de detección basados en el aprendizaje automático) con el fin de obtener la mayor tasa de detección y reducir al mínimo el tiempo de exposición a los brotes de malware.
4. Eliminar posibles amenazas incrustadas.Archivos como los de Microsoft Office, PDF e imágenes pueden contener amenazas incrustadas en scripts y macros ocultos que los motores antimalware no siempre detectan. Para eliminar el riesgo y asegurarse de que los archivos no contienen amenazas ocultas, se recomienda eliminar cualquier posible objeto incrustado mediante una metodología denominada«desarmado y reconstrucción de contenido» (CDR).
5. Autenticar a los usuarios.Para aumentar la seguridad, es recomendable exigir a los usuarios que se autentiquen antes de subir un archivo. Sin embargo, eso no garantiza que el propio equipo del usuario no haya sido comprometido.
6. Establezca una longitud máxima para los nombres y un tamaño máximo para los archivos.Asegúrese de establecer una longitud máxima para los nombres (restringiendo los caracteres permitidos si es posible) y un tamaño máximo para los archivos, con el fin de evitar una posible interrupción del servicio.
7. Aleatorizar los nombres de los archivos subidos.Modifique aleatoriamente los nombres de los archivos subidos para que los atacantes no puedan intentar acceder al archivo utilizando el nombre con el que lo subieron. Al utilizar la tecnología Deep CDR™, puede configurar el archivo depurado para que sea un identificador aleatorio (por ejemplo, el «data_id» del análisis).
8. Guarda los archivos subidos fuera de la carpeta raíz del sitio web. Eldirectorio al que se suben los archivos debe estar fuera del directorio público del sitio web, de modo que los atacantes no puedan ejecutar el archivo a través de la URL de la ruta asignada.
9. Comprueba si hay vulnerabilidades en los archivos.Asegúrate decomprobar si hay vulnerabilidadesen los archivos de software y firmware antes de subirlos.
10. Utiliza mensajes de error sencillos. Cuandose muestren errores en la subida de archivos, no incluyas rutas de directorios, ajustes de configuración del servidor ni otra información que los atacantes pudieran utilizar para acceder a tus sistemas.
Blog: 13 prácticas recomendadas de seguridad de aplicaciones de eficacia probada
Seguridad en la carga de archivos de OPSWAT
OPSWAT múltiples soluciones parala seguridad en la carga de archivoscon MetaDefender, una plataforma avanzada de prevención de amenazas que ayuda a evitar ataques maliciosos mediante la carga de archivos gracias al uso de múltiples motores antimalware, la desactivación y reconstrucción de contenidos (tecnología Deep CDR™) y la evaluación de vulnerabilidades. MetaDefender se puede implementar a través de una API o con cualquierdispositivo de redICAP , como cortafuegos de aplicaciones web, equilibradores de carga y controladores de entrega de aplicaciones.
¿Quieres saber más sobre cómo bloquear la subida de archivos maliciosos? Lee nuestro informe técnico«Cómo bloquear la subida de archivos maliciosos con OPSWAT ».
