Navegador: el enemigo del sistema - una nueva técnica de evasión de puertas de enlace SWG

La empresa SquareX y su fundador, Vivek Ramachandran, un conocido experto en ciberseguridad, han descubierto recientemente una vulnerabilidad en los sistemas Secure Web Gateway (SWG), que se utilizan para proteger redes corporativas. Se ha demostrado que todos los SWG incluidos en el cuadrante mágico de Gartner para SASE y SSE pueden ser eludidos y permitir la descarga de malware en el sistema sin levantar sospechas en los sistemas de seguridad.

Ramachandran ha desarrollado más de 25 métodos diferentes para evadir los SWG. La técnica de evasión se denomina "ensamblaje en el último momento" (Last Mile Reassembly). Todos los métodos de evasión se reducen a un único exploit básico: los navegadores modernos permanecen fuera del campo de visión de los sistemas SWG.

Los SWG fueron creados hace más de 15 años y originalmente se utilizaban como proxy SSL para interceptar tráfico, pero con el desarrollo de las tecnologías en la nube, su funcionalidad se ha ampliado considerablemente. Aquí radica el problema principal.

La mayoría de los SWG se basan en la capacidad de reconocer ataques en aplicación a través del tráfico de red antes de que este llegue al navegador. Si el tráfico no se reconoce como malicioso, el SWG lo deja pasar al navegador del usuario, y es en esta etapa donde el atacante puede ejecutar el ataque. Ramachandran afirma que estas vulnerabilidades en la arquitectura son tan fundamentales que no pueden ser corregidas.

La técnica del "ensamblaje en el último momento" utiliza una idea simple: el ciberdelincuente tiene acceso a la computadora, que en este caso es el navegador, y puede "ensamblar" el ataque en el último momento utilizando varias técnicas.

Por ejemplo, un hacker puede fragmentar el malware, utilizar archivos Web Assembly, ocultar el malware en otros archivos y otras formas de dividirlo en muchas partes pequeñas e indetectables. Después de dividirlo en partes, el atacante puede entregar el malware y hacer que el navegador lo ensamble sin que el sistema de seguridad lo detecte.

Una de las razones de esta vulnerabilidad es la antigüedad de los SWG. Los sistemas no pueden lidiar con la complejidad moderna de los navegadores web, que tienen múltiples canales incontrolados, como gRPC, webRTC, WebSocket y WebTorrent, que pasan completamente desapercibidos.

Ramachandran afirma que los fabricantes de SWG son conscientes de la existencia de algunas de las vulnerabilidades descubiertas, pero corregirlas socavaría su enfoque de seguridad. El experto señaló que los SWG solo pueden detener los ataques más básicos. Para detectar completamente todos los ataques, sería necesaria una emulación completa de cada ventana abierta del navegador, para que la puerta de enlace esté al tanto del contexto de la aplicación, lo que es prácticamente imposible.

Aunque Ramachandran no mencionó a fabricantes específicos para no crear un entorno negativo, el experto recomienda encarecidamente a los profesionales de seguridad informática y a los directivos de las empresas que comprendan que los sistemas en los que confían para proteger la actividad web de los usuarios pueden no estar cumpliendo con su tarea.

Ramachandran también sospecha que algunos de los ataques (presentados en Def Con) ya se están utilizando activamente en el mundo real. Por ello, SquareX ha lanzado una herramienta gratuita para verificar la vulnerabilidad de las configuraciones existentes de SWG.

Para protegerse contra estos ataques, las empresas deben centrarse en la protección en los dispositivos finales. Es en el navegador donde ocurren los ataques, y solo allí pueden ser detectados. Sin embargo, muchos clientes de SWG pueden no tener suficiente protección en los dispositivos finales, ya que confían en las afirmaciones de los proveedores de que las soluciones en la nube pueden proteger completamente contra el malware. Los ataques utilizando la técnica del "ensamblaje en el último momento" se convierten en un fuerte argumento a favor de la necesidad de revisar los enfoques de protección de los puntos finales.