Problemas de seguridad en las reglas de AEM Dispatcher
Las reglas predeterminadas que se incluyen con Adobe Experience Manager (AEM) Dispatcher siempre deben modificarse antes de mover las configuraciones a producción. Fuera de la caja hay varios agujeros que pueden causar problemas de seguridad. La mayoría de los arquitectos de AEM son conscientes de que la primera regla de cualquier buena configuración de Dispatcher es la regla "denegar todo". Este es el caso de cualquier sistema de producción, siempre bloquee todo y luego solo permita que se abran los caminos necesarios .
Sin embargo, incluso con una regla de "denegar todo", hay muchas reglas que pueden causar problemas y permitir el acceso inesperado a áreas confidenciales de AEM. Por ejemplo, varios de los ejemplos de Adobe Dispatcher contienen problemas que permiten el acceso con direcciones URL ingeniosamente diseñadas. Agregar ;.css a una solicitud, por ejemplo, omite la mayoría de las reglas y permite a los usuarios llegar a áreas sensibles que se consideran seguras (como el administrador de CRX).
Consulte esta URL en su sitio para ver si puede ver la pantalla de administración de CRX: http:///crx/explorer/index.jsp;.css. Si puedes ver esta página, ¡ay! ¡Tienes una vulnerabilidad de seguridad!
¡Cómo arreglar esto!
Entonces, ¿cómo solucionamos este problema en el que agregar ;.css le otorga acceso a ubicaciones sensibles? Consulte las reglas de filtro de dispatcher.any. ¿Hay reglas como estas?
# Enable specific mime types in non-public content directories
/0041 { /type "allow" /url "*.css" } # enable css
/0042 { /type "allow" /url "*.gif" } # enable gifs
/0043 { /type "allow" /url "*.ico" } # enable icos
/0044 { /type "allow" /url "*.js" } # enable javascript
/0045 { /type "allow" /url "*.png" } # enable png
/0046 { /type "allow" /url "*.swf" } # enable flash
/0047 { /type "allow" /url "*.jpg" } # enable jpg
/0048 { /type "allow" /url "*.jpeg" } # enable jpeg
/0049 { /type "allow" /url "*.svg" } # enable svg
Estos se proporcionaron en muchos ejemplos de dispatcher.any como un medio para habilitar sus imágenes e incluye. Sin embargo, ¡estas reglas también son las que proporcionan una de estas lagunas de seguridad!
En la última versión de dispatcher.any que se envía con la versión 4.3.3 Adobe ha cambiado estas reglas para que tengan el siguiente aspecto:
# Enable extensions in non-public content directories, using a regular expression
/0041
{
/type "allow"
/extension '(clientlibs|css|gif|ico|js|png|swf|jpe?g|woff2?)'
}
Todavía estamos probando si esta actualización soluciona los problemas conocidos y actualizaremos este blog con nuestros resultados. Mientras tanto, estas reglas han sido diseñadas para bloquear algunos de los problemas más atroces (sugerencia: ¡Dwayne Hale de Rackspace!):
#vuln 1
/9990 { /type "deny" /url "*.infinity.*" }
#vuln2
/9991 { /type "deny" /url "/crx*" }
/9992 { /type "deny" /url "/system*" }
#vuln3 block querybuilder
/9993 { /type "deny" /url "/bin/querybuilder*" }
#vuln4
/9994 { /type "deny" /url "*/.*"}
Esperamos que estas reglas le ayuden a proteger los sitios de su empresa al utilizar AEM Dispatcher.
Para obtener ayuda para corregir cualquier vulnerabilidad de AEM Dispatcher, póngase en contacto con los expertos de AEM en Arbory Digital a través del 1-877-AEM-4502 hoy mismo.
Drew Oliver Cummings
Desarrollador de AEM en Arbory Digital
Escritor y desarrollador de software con experiencia en redacción técnica, desarrollo de Python y AEM.
¿Te gusta lo que escuchaste? ¿Tiene preguntas sobre lo que es adecuado para usted? ¡Nos encantaría hablar! Contáctenos