Los investigadores de seguridad de Claroty han descubierto formas de eludir los firewalls de aplicaciones web (WAF). La falta de compatibilidad con JSON permite ataques a potencialmente todos los proveedores. Mientras tanto, los proveedores Palo Alto Networks, Amazon Web Services, Cloudflare, F5 e Imperva han actualizado sus productos.
Los investigadores de seguridad de Team82, el brazo de investigación de los especialistas en seguridad de sistemas ciberfísicos (CPS) Claroty, han identificado la posibilidad de una omisión básica de los firewalls de aplicaciones web (WAF) líderes en la industria. La técnica de ataque consiste en agregar la sintaxis JSON a las cargas útiles de inyección de SQL.
Los principales proveedores de WAF ya han respondido
Aunque la mayoría de los motores de bases de datos han admitido JSON durante una década, numerosos proveedores de WAF no han integrado la compatibilidad con JSON en sus productos. Del mismo modo, WAF es ciego a los ataques que anteponen JSON a la sintaxis SQL. El método funcionó en WAF de cinco proveedores líderes: Palo Alto Networks, Amazon Web Services, Cloudflare, F5 e Imperva. Los cinco ahora han actualizado sus productos para admitir la sintaxis JSON en su proceso de inspección de inyección SQL. Sin embargo, existe el riesgo de que la tecnología utilizada en otros WAF represente una vulnerabilidad grave que los atacantes pueden usar para obtener acceso a datos comerciales y de clientes confidenciales.
Antecedentes sobre los cortafuegos de aplicaciones web
Los cortafuegos de aplicaciones web (WAF) están diseñados para proteger las API y las aplicaciones basadas en web del tráfico HTTP externo malicioso, en particular los ataques de secuencias de comandos entre sitios y de inyección SQL. Aunque estos son conocidos y relativamente fáciles de corregir, aún representan una amenaza y, por lo tanto, se encuentran repetidamente en el OWASP Top 10 de las vulnerabilidades más importantes.
Los WAF también se utilizan cada vez más para proteger las plataformas de administración basadas en la nube que monitorean los dispositivos conectados, como enrutadores y puntos de acceso. Los atacantes que pueden eludir las capacidades de bloqueo y escaneo de tráfico WAF a menudo tienen acceso directo a datos comerciales y de clientes confidenciales de esta manera. Sin embargo, las omisiones de WAF son relativamente raras y, por lo general, se dirigen a la implementación de un proveedor específico.
La falta de compatibilidad con JSON permite ataques de inyección SQL
Team82 ha descubierto una técnica de ataque que representa la primera evasión genérica de múltiples firewalls de aplicaciones web de proveedores líderes en la industria (Palo Alto, F5, Amazon Web Services, Cloudflare e Imperva). Todos los proveedores afectados han reconocido la divulgación de Team82 e implementaron correcciones de errores que agregan soporte para la sintaxis JSON a los procesos de validación SQL de sus productos.
Los WAF están diseñados para proporcionar seguridad adicional desde la nube. Sin embargo, si los atacantes pueden eludir estos mecanismos de protección, tienen acceso de gran alcance a los sistemas. Con la nueva tecnología, los atacantes pueden acceder a una base de datos back-end y usar vulnerabilidades y exploits adicionales para filtrar información ya sea a través del acceso directo al servidor oa través de la nube. Esto es especialmente importante para las plataformas OT e IoT que han migrado a sistemas de administración y monitoreo basados en la nube.
Puede encontrar más información, antecedentes y, sobre todo, más detalles técnicos en la publicación de blog correspondiente de Claroty.
Más en Claroty.com
Acerca de Claroty Claroty, la empresa de ciberseguridad industrial, ayuda a sus clientes globales a descubrir, proteger y administrar sus activos de OT, IoT e IIoT. La plataforma integral de la compañía se integra a la perfección con la infraestructura y los procesos existentes de los clientes y ofrece una amplia gama de controles de ciberseguridad industrial para transparencia, detección de amenazas, gestión de riesgos y vulnerabilidades y acceso remoto seguro, con un costo total de propiedad significativamente reducido.