El robot de búsqueda de Apple perdió direcciones IP internas a través de la configuración del proxy

Un investigador de seguridad descubrió que los robots de búsqueda de Apple que rastreaban su serie de podcasts filtraban IP internas debido a un servidor proxy configurado incorrectamente.

Y a Apple le tomó poco más de 9 meses reparar esta fuga, sin ninguna razón obvia.

Índice()

    ¿Qué son los servidores proxy?

    Los servidores proxy actúan como un agente intermediario entre un dispositivo que intenta conectarse a un destino en Internet y el destino en sí.

    Por ejemplo, si está iniciando sesión en bleepingcomputer.com desde un entorno corporativo, es probable que su estación de trabajo realice la solicitud a través del agente proxy de su empresa que se encuentra en el centro, que además se comunica con nuestro sitio web para proporcionarle las páginas solicitadas.

    Diagrama de proxy
    Un diagrama simplista de cómo funcionan los proxies
    Fuente: Wikimedia

    Hay muchas razones por las que se puede utilizar un servidor proxy.

    En el lugar de trabajo, los proxies permiten a los administradores de red interceptar y filtrar el tráfico. Esto es útil para bloquear el acceso a sitios web maliciosos.

    Del mismo modo, los robots de los motores de búsqueda responsables de rastrear e indexar los recursos web pueden estar detrás de un proxy por razones de seguridad.

    A menos que se proporcione el anonimato (como es el caso de algunas VPN), la mayoría de los servidores proxy, al conectarse a un servidor en a nombre de otro dispositivo, incluya la información de IP del dispositivo de origen en la solicitud HTTP.

    Por ejemplo, una solicitud de proxy puede contener el archivo X-reenviado-para o mediante Encabezados HTTP que revelan la dirección IP del dispositivo de origen e informan al destino que la solicitud proviene de un proxy.

    Applebot expone direcciones IP internas

    Applebot se refiere al rastreador web de Apple que recorre la web para encontrar contenido para sus usuarios.

    "Applebot es el rastreador web de Apple. Productos como Siri y Spotlight Suggestions utilizan Applebot", según Apple base de conocimientos.

    El mes pasado, el investigador de seguridad y creador de podcasts David Coomber descubrió que Applebot estaba usando un proxy que filtró las direcciones IP internas de Apple.

    "En un día cualquiera, veo una buena cantidad de ruido dirigido a mi servidor web, desde bots que descargan contenido o escanean" búsquedas "hasta ataques a través de Tor y pensé que sería interesante ver cuántas conexiones identificaban como enrutadas a un proxy. " el escribio investigador.

    Coomber de hecho se refiere a la mediante es X-reenviado-para encabezados enviados por el rastreador Applebot.

    Una solicitud de muestra realizada al sitio web de Coomber contenía ambos encabezados que revelaban la dirección IP interna del dispositivo detrás del proxy.

    17.XXX "HEAD /mixes/podcast.jpg HTTP / 1.1" 301 "iTMS" "1.1 pv50XXX.apple.com (producto proxy)" "XXX12"

    Los campos enumerados son la dirección IP externa del proxy, la ruta solicitada, el código de respuesta HTTP, la información del agente de usuario / navegador web y mediante es X-reenviado-para valores de encabezado.

    "Aunque vi un par de bots mal configurados, me sorprendió ver que el bot de Podcast de Apple buscaba actualizaciones para mi podcast (Deep House Mixes) usando un proxy que filtraba direcciones IP internas y nombres de host de 'Via' y ' X - Reenvío: por 'encabezados', continuó Coomber en su publicación de blog.

    Apple tardó nueve meses en arreglarlo

    Según Coomber, Apple resolvió la filtración el 29 de septiembre de 2020, unos nueve meses después de que se lo informara, y no está claro por qué.

    Coomber le dijo a BleepingComputer: "Proporcioné los detalles al equipo de seguridad de productos de Apple el 21 de diciembre de 2019. Una vez que se confirmó el problema, trabajé con ellos para eliminar los encabezados" Via "y" X-Fordered-For "de su. proxy interno de infraestructura, que está configurado para buscar actualizaciones del contenido disponible en Apple Podcasts ".

    ¿Cómo evitar fugas de IP a través de proxy?

    La forma recomendada de evitar que las direcciones IP de origen se expongan en las solicitudes HTTP realizadas por el proxy es inspeccionar la configuración del servidor proxy.

    Debe asegurarse de que el producto proxy no envíe la información de IP de origen utilizando la extensión Vía, X-Fordered-For, X-ProxyUser-Ipo encabezados similares.

    "Si está ejecutando un proxy de reenvío en su entorno, es posible que desee considerar eliminar los encabezados" Vía "y" X-Reenviado-Para "", aconsejó Coomber.

    Compartió reglas de configuración de muestra utilizadas por los administradores de red Calamar los servidores proxy podrían implementar.

    vía apagado
    reenviado_para eliminar

    En julio de 2020, Coomber había informó un problema de Applebot separado en el que el rastreador no cumplía completamente con las reglas especificadas en robots.txt Archivo.

    Cuando se le pidió un comentario sobre estos problemas, Apple no proporcionó uno a BleepingComputer.

    Deja una respuesta

    Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

    Subir