I ricercatori di sicurezza di Claroty hanno scoperto modi per aggirare i Web Application Firewall (WAF). La mancanza di supporto JSON consente attacchi potenzialmente a tutti i provider. I provider Palo Alto Networks, Amazon Web Services, Cloudflare, F5 e Imperva hanno nel frattempo aggiornato i loro prodotti.
I ricercatori di sicurezza di Team82, il braccio di ricerca degli specialisti della sicurezza dei sistemi cyber-fisici (CPS) Claroty, hanno identificato la possibilità di un bypass di base dei firewall per applicazioni web (WAF) leader del settore. La tecnica di attacco prevede l'aggiunta della sintassi JSON ai payload di SQL injection.
I principali fornitori di WAF hanno già risposto
Sebbene la maggior parte dei motori di database supporti JSON da un decennio, numerosi fornitori di WAF non hanno integrato il supporto JSON nei loro prodotti. Allo stesso modo, il WAF è cieco agli attacchi che antepongono JSON alla sintassi SQL. Il metodo ha funzionato su WAF di cinque provider leader: Palo Alto Networks, Amazon Web Services, Cloudflare, F5 e Imperva. Tutti e cinque hanno ora aggiornato i loro prodotti per supportare la sintassi JSON nel loro processo di ispezione SQL injection. Tuttavia, esiste il rischio che la tecnologia utilizzata in altri WAF rappresenti una grave vulnerabilità che gli aggressori possono utilizzare per ottenere l'accesso a dati aziendali e dei clienti sensibili.
Cenni sui firewall per applicazioni web
I Web application firewall (WAF) sono progettati per proteggere le applicazioni e le API basate sul Web da traffico HTTP esterno dannoso, in particolare scripting cross-site e attacchi SQL injection. Sebbene questi siano noti e relativamente facili da risolvere, rappresentano comunque una minaccia e quindi entrano ripetutamente nella Top 10 OWASP delle vulnerabilità più importanti.
I WAF sono inoltre sempre più utilizzati per proteggere le piattaforme di gestione basate su cloud che monitorano i dispositivi connessi come router e punti di accesso. Gli aggressori che sono in grado di aggirare le funzionalità di scansione e blocco del traffico WAF spesso hanno accesso diretto a dati aziendali e dei clienti sensibili in questo modo. Tuttavia, i bypass WAF sono relativamente rari e in genere mirano all'implementazione di un fornitore specifico.
La mancanza di supporto JSON consente attacchi SQL injection
Team82 ha scoperto una tecnica di attacco che rappresenta la prima evasione generica di più firewall per applicazioni Web da fornitori leader del settore (Palo Alto, F5, Amazon Web Services, Cloudflare e Imperva). Tutti i fornitori interessati hanno riconosciuto la divulgazione di Team82 e implementato correzioni di bug che aggiungono il supporto per la sintassi JSON ai processi di convalida SQL dei loro prodotti.
I WAF sono progettati per fornire ulteriore sicurezza dal cloud. Tuttavia, se gli aggressori sono in grado di eludere questi meccanismi di protezione, hanno un ampio accesso ai sistemi. Con la nuova tecnologia, gli aggressori possono accedere a un database back-end e utilizzare ulteriori vulnerabilità ed exploit per esfiltrare le informazioni tramite l'accesso diretto al server o tramite il cloud. Ciò è particolarmente importante per le piattaforme OT e IoT che sono migrate a sistemi di gestione e monitoraggio basati su cloud.
Ulteriori informazioni, retroscena e soprattutto maggiori dettagli tecnici possono essere trovati nel corrispondente post sul blog di Claroty.
Altro su Claroty.com
A proposito di Claroty Claroty, la società di sicurezza informatica industriale, aiuta i suoi clienti globali a scoprire, proteggere e gestire le proprie risorse OT, IoT e IIoT. La piattaforma completa dell'azienda si integra perfettamente con l'infrastruttura e i processi esistenti dei clienti e offre un'ampia gamma di controlli di sicurezza informatica industriale per la trasparenza, il rilevamento delle minacce, la gestione dei rischi e delle vulnerabilità e l'accesso remoto sicuro, con un costo totale di proprietà notevolmente ridotto.