Claroty सुरक्षा शोधकर्ताओं ने वेब एप्लिकेशन फ़ायरवॉल (WAF) को बायपास करने के तरीके खोजे हैं। JSON समर्थन की कमी संभावित रूप से सभी प्रदाताओं पर हमले की अनुमति देती है। प्रदाता Palo Alto Networks, Amazon Web Services, Cloudflare, F5 और Imperva ने इस बीच अपने उत्पादों को अपडेट किया है।
साइबर-फिजिकल सिस्टम्स (CPS) के सुरक्षा विशेषज्ञ क्लारोटी की अनुसंधान शाखा टीम82 के सुरक्षा शोधकर्ताओं ने उद्योग-अग्रणी वेब एप्लिकेशन फायरवॉल (WAF) के बुनियादी बायपास की संभावना की पहचान की है। हमले की तकनीक में SQL इंजेक्शन पेलोड में JSON सिंटैक्स को जोड़ना शामिल है।
प्रमुख WAF प्रदाताओं ने पहले ही प्रतिक्रिया दे दी है
हालाँकि अधिकांश डेटाबेस इंजनों ने एक दशक से JSON का समर्थन किया है, कई WAF विक्रेताओं ने अपने उत्पादों में JSON समर्थन का निर्माण नहीं किया है। इसी तरह, WAF उन हमलों के लिए अंधा है जो JSON को SQL सिंटैक्स से जोड़ते हैं। यह विधि पांच प्रमुख प्रदाताओं से WAF पर काम करती है: पालो ऑल्टो नेटवर्क्स, अमेज़ॅन वेब सर्विसेज, क्लाउडफ्लेयर, F5, और इंपर्वा। सभी पांचों ने अब अपने SQL इंजेक्शन निरीक्षण प्रक्रिया में JSON सिंटैक्स का समर्थन करने के लिए अपने उत्पादों को अपडेट किया है। हालाँकि, एक जोखिम है कि अन्य WAF में उपयोग की जाने वाली तकनीक एक गंभीर भेद्यता का प्रतिनिधित्व करती है जिसका उपयोग हमलावर संवेदनशील व्यवसाय और ग्राहक डेटा तक पहुँच प्राप्त करने के लिए कर सकते हैं।
वेब एप्लिकेशन फायरवॉल पर पृष्ठभूमि
वेब एप्लिकेशन फ़ायरवॉल (WAF) को वेब-आधारित एप्लिकेशन और API को दुर्भावनापूर्ण बाहरी HTTP ट्रैफ़िक, विशेष रूप से क्रॉस-साइट स्क्रिप्टिंग और SQL इंजेक्शन हमलों से बचाने के लिए डिज़ाइन किया गया है। हालाँकि ये ज्ञात हैं और इन्हें ठीक करना अपेक्षाकृत आसान है, फिर भी ये एक खतरा पैदा करते हैं और इस प्रकार इसे बार-बार सबसे महत्वपूर्ण कमजोरियों के OWASP शीर्ष 10 में शामिल करते हैं।
क्लाउड-आधारित प्रबंधन प्लेटफ़ॉर्म की सुरक्षा के लिए WAF का भी तेजी से उपयोग किया जाता है जो राउटर और एक्सेस पॉइंट जैसे जुड़े उपकरणों की निगरानी करता है। हमलावर जो WAF ट्रैफिक स्कैनिंग और ब्लॉकिंग क्षमताओं को बायपास करने में सक्षम हैं, अक्सर इस तरह से संवेदनशील व्यवसाय और ग्राहक डेटा तक सीधी पहुंच रखते हैं। हालाँकि, WAF बायपास अपेक्षाकृत दुर्लभ हैं और आमतौर पर एक विशिष्ट विक्रेता के कार्यान्वयन को लक्षित करते हैं।
JSON समर्थन की कमी SQL इंजेक्शन हमलों की अनुमति देती है
Team82 ने एक हमले की तकनीक की खोज की है जो उद्योग-अग्रणी विक्रेताओं (पालो अल्टो, एफ5, अमेज़ॅन वेब सर्विसेज, क्लाउडफ्लेयर और इम्पर्वा) से कई वेब एप्लिकेशन फायरवॉल की पहली सामान्य चोरी का प्रतिनिधित्व करती है। सभी प्रभावित विक्रेताओं ने Team82 के प्रकटीकरण को स्वीकार किया है और बग फिक्स को लागू किया है जो उनके उत्पादों की SQL सत्यापन प्रक्रियाओं में JSON सिंटैक्स के लिए समर्थन जोड़ता है।
WAF को क्लाउड से अतिरिक्त सुरक्षा प्रदान करने के लिए डिज़ाइन किया गया है। हालाँकि, यदि हमलावर इन सुरक्षा तंत्रों को दरकिनार करने में सक्षम हैं, तो सिस्टम तक उनकी दूरगामी पहुँच है। नई तकनीक के साथ, हमलावर एक बैकएंड डेटाबेस तक पहुंच सकते हैं और अतिरिक्त भेद्यता का उपयोग कर सकते हैं और जानकारी को सर्वर तक सीधे पहुंच के माध्यम से या क्लाउड के माध्यम से बाहर निकालने के लिए शोषण कर सकते हैं। यह ओटी और आईओटी प्लेटफॉर्म के लिए विशेष रूप से महत्वपूर्ण है जो क्लाउड-आधारित प्रबंधन और निगरानी प्रणालियों में स्थानांतरित हो गए हैं।
आगे की जानकारी, पृष्ठभूमि और सबसे अधिक तकनीकी विवरण क्लारोटी द्वारा संबंधित ब्लॉग पोस्ट में पाया जा सकता है।
Claroty.com पर अधिक
Claroty के बारे में क्लारोटी, औद्योगिक साइबर सुरक्षा कंपनी, अपने वैश्विक ग्राहकों को उनकी ओटी, आईओटी और आईआईओटी संपत्तियों की खोज, सुरक्षा और प्रबंधन में मदद करती है। कंपनी का व्यापक प्लेटफॉर्म ग्राहकों के मौजूदा बुनियादी ढांचे और प्रक्रियाओं के साथ निर्बाध रूप से एकीकृत होता है और स्वामित्व की कुल लागत में काफी कमी के साथ पारदर्शिता, खतरे का पता लगाने, जोखिम और भेद्यता प्रबंधन और सुरक्षित रिमोट एक्सेस के लिए औद्योगिक साइबर सुरक्षा नियंत्रण की एक विस्तृत श्रृंखला प्रदान करता है।