Les chercheurs en sécurité de Claroty ont découvert des moyens de contourner les pare-feu d'applications Web (WAF). Un manque de support JSON permet des attaques sur potentiellement tous les fournisseurs. Les fournisseurs Palo Alto Networks, Amazon Web Services, Cloudflare, F5 et Imperva ont quant à eux mis à jour leurs produits.
Les chercheurs en sécurité de Team82, la branche de recherche des spécialistes de la sécurité des systèmes cyber-physiques (CPS) Claroty, ont identifié la possibilité d'un contournement de base des pare-feu d'applications Web (WAF) leaders de l'industrie. La technique d'attaque consiste à ajouter la syntaxe JSON aux charges utiles d'injection SQL.
Les principaux fournisseurs de WAF ont déjà répondu
Bien que la plupart des moteurs de base de données prennent en charge JSON depuis une décennie, de nombreux fournisseurs WAF n'ont pas intégré la prise en charge de JSON dans leurs produits. De même, le WAF est aveugle aux attaques qui ajoutent JSON à la syntaxe SQL. La méthode a fonctionné sur les WAF de cinq principaux fournisseurs : Palo Alto Networks, Amazon Web Services, Cloudflare, F5 et Imperva. Tous les cinq ont maintenant mis à jour leurs produits pour prendre en charge la syntaxe JSON dans leur processus d'inspection par injection SQL. Cependant, il existe un risque que la technologie utilisée dans d'autres WAF représente une grave vulnérabilité que les attaquants peuvent utiliser pour accéder aux données sensibles des entreprises et des clients.
Informations générales sur les pare-feux d'applications Web
Les pare-feu d'applications Web (WAF) sont conçus pour protéger les applications Web et les API contre le trafic HTTP externe malveillant, en particulier les scripts intersites et les attaques par injection SQL. Bien que ceux-ci soient connus et relativement faciles à corriger, ils constituent toujours une menace et figurent donc à plusieurs reprises dans le Top 10 des vulnérabilités les plus importantes de l'OWASP.
Les WAF sont également de plus en plus utilisés pour protéger les plates-formes de gestion basées sur le cloud qui surveillent les appareils connectés tels que les routeurs et les points d'accès. Les attaquants capables de contourner les capacités d'analyse et de blocage du trafic WAF ont souvent un accès direct aux données sensibles des entreprises et des clients de cette manière. Cependant, les contournements WAF sont relativement rares et ciblent généralement l'implémentation d'un fournisseur spécifique.
Le manque de support JSON permet des attaques par injection SQL
Team82 a découvert une technique d'attaque qui représente la première évasion générique de plusieurs pare-feu d'applications Web de fournisseurs leaders du secteur (Palo Alto, F5, Amazon Web Services, Cloudflare et Imperva). Tous les fournisseurs concernés ont reconnu la divulgation de Team82 et mis en œuvre des correctifs de bogues qui ajoutent la prise en charge de la syntaxe JSON aux processus de validation SQL de leurs produits.
Les WAF sont conçus pour fournir une sécurité supplémentaire à partir du cloud. Cependant, si les attaquants sont capables de contourner ces mécanismes de protection, ils ont un accès étendu aux systèmes. Avec la nouvelle technologie, les attaquants peuvent accéder à une base de données principale et utiliser des vulnérabilités et des exploits supplémentaires pour exfiltrer des informations soit via un accès direct au serveur, soit via le cloud. Ceci est particulièrement important pour les plates-formes OT et IoT qui ont migré vers des systèmes de gestion et de surveillance basés sur le cloud.
Vous trouverez de plus amples informations, des informations générales et surtout des détails techniques dans l'article de blog correspondant de Claroty.
Plus sur Claroty.com
À propos de Claroty Claroty, la société de cybersécurité industrielle, aide ses clients mondiaux à découvrir, protéger et gérer leurs actifs OT, IoT et IIoT. La plate-forme complète de la société s'intègre de manière transparente à l'infrastructure et aux processus existants des clients et offre une large gamme de contrôles de cybersécurité industrielle pour la transparence, la détection des menaces, la gestion des risques et des vulnérabilités et l'accès à distance sécurisé - avec un coût total de possession considérablement réduit.