Sicherheitsforscher von Claroty haben Möglichkeiten zur Umgehung von Web Application Firewalls (WAF) entdeckt. Ein fehlender JSON-Support ermöglicht Angriffe bei potenziell allen Anbietern. Die Anbieter Palo Alto Networks, Amazon Web Services, Cloudflare, F5 und Imperva haben ihre Produkte mittlerweile aktualisiert.
Sicherheitsforscher von Team82, der Forschungsabteilung des Spezialisten für die Sicherheit von cyber-physischen Systemen (CPS) Claroty, haben die Möglichkeit einer grundlegenden Umgehung von branchenführenden Web Application Firewalls (WAF) identifiziert. Bei der Angriffstechnik wird die JSON-Syntax an SQL-Injection-Payloads angehängt.
Führende WAF-Anbieter haben bereits reagiert
Obwohl die meisten Datenbank-Engines JSON seit einem Jahrzehnt unterstützen, haben zahlreiche WAF-Anbieter keine JSON-Unterstützung in ihre Produkte integriert. Entsprechend ist die WAF für Angriffe blind, bei denen JSON der SQL-Syntax vorangestellt wird. Die Methode funktionierte bei WAFs von fünf führenden Anbietern: Palo Alto Networks, Amazon Web Services, Cloudflare, F5 und Imperva. Alle fünf haben ihre Produkte inzwischen aktualisiert, um JSON-Syntax in ihrem SQL-Injection-Inspektionsprozess zu unterstützen. Gleichwohl besteht die Gefahr, dass die Technik bei anderen WAFs eine ernste Schwachstelle darstellt, mittels derer Angreifer Zugang zu sensiblen Geschäfts- und Kundendaten erhalten können.
Hintergrund zu Web Application Firewalls
Web Application Firewalls (WAF) sollen webbasierte Anwendungen und APIs vor bösartigem externen HTTP-Datenverkehr schützen, insbesondere vor Cross-Site-Scripting- und SQL-Injection-Angriffen. Diese sind zwar bekannt und relativ einfach zu beheben, stellen jedoch nach wie vor eine Bedrohung dar und schaffen es so immer wieder in die OWASP Top 10 der bedeutendsten Schwachstellen.
WAFs werden zunehmend auch zum Schutz von Cloud-basierten Management-Plattformen eingesetzt, die angeschlossene Geräte wie Router und Access Points überwachen. Angreifer, die in der Lage sind, die Funktionen zum Scannen und Blockieren des Datenverkehrs von WAFs zu umgehen, haben auf diese Weise oft einen direkten Zugang zu sensiblen Geschäfts- und Kundendaten. WAF-Umgehungen sind allerdings relativ selten und zielen in aller Regel auf die Implementierung eines bestimmten Anbieters ab.
Fehlende JSON-Unterstützung ermöglicht SQL-Injection-Angriffe
Team82 hat eine Angriffstechnik entdeckt, die die erste generische Umgehung mehrerer Web Application Firewalls branchenführender Anbieter (Palo Alto, F5, Amazon Web Services, Cloudflare und Imperva) darstellt. Alle betroffenen Anbieter haben die Offenlegung von Team82 bestätigt und Fehlerbehebungen implementiert, die die SQL-Prüfprozesse ihrer Produkte um Unterstützung für JSON-Syntax erweitern.
WAFs sollen zusätzliche Sicherheit aus der Cloud bieten. Sind Angreifer jedoch in der Lage, diese Schutzmechanismen zu umgehen, haben sie weitreichenden Zugang zu den Systemen. Mit der neuartigen Technik können Angreifer auf eine Backend-Datenbank zugreifen und zusätzliche Schwachstellen und Exploits nutzen, um Informationen entweder über direkten Zugriff auf den Server oder über die Cloud zu exfiltrieren. Dies ist besonders wichtig für OT- und IoT-Plattformen, die auf cloudbasierte Verwaltungs- und Überwachungssysteme umgestiegen sind.
Weitere Informationen, Hintergründe und vor allem mehr technische Details finden sich im entsprechenden Blog-Beitrag von Claroty.
Mehr bei Claroty.com
Über Claroty Claroty, die Industrial Cybersecurity Company, hilft ihren weltweiten Kunden, ihre OT-, IoT- und IIoT-Anlagen zu erkennen, zu schützen und zu verwalten. Die umfassende Plattform des Unternehmens lässt sich nahtlos in die bestehende Infrastruktur und Prozesse der Kunden einbinden und bietet eine breite Palette an industriellen Cybersicherheitskontrollen für Transparenz, Bedrohungserkennung, Risiko- und Schwachstellenmanagement sowie sicheren Fernzugriff – bei deutlich reduzierten Gesamtbetriebskosten.