Claroty のセキュリティ研究者は、Web アプリケーション ファイアウォール (WAF) をバイパスする方法を発見しました。 JSON のサポートがないため、潜在的にすべてのプロバイダーへの攻撃が可能になります。 プロバイダーの Palo Alto Networks、Amazon Web Services、Cloudflare、F5、Imperva は、その間に製品を更新しました。
サイバーフィジカル システム (CPS) のセキュリティ スペシャリストである Claroty の研究部門である Team82 のセキュリティ研究者は、業界をリードする Web アプリケーション ファイアウォール (WAF) の基本的なバイパスの可能性を特定しました。 攻撃手法には、JSON 構文を SQL インジェクション ペイロードに追加することが含まれます。
主要な WAF プロバイダーはすでに対応しています
ほとんどのデータベース エンジンは 5 年間 JSON をサポートしていますが、多くの WAF ベンダーは製品に JSON サポートを組み込んでいません。 同様に、WAF は、JSON を SQL 構文の先頭に追加する攻撃に対して無防備です。 この方法は、Palo Alto Networks、Amazon Web Services、Cloudflare、FXNUMX、Imperva の XNUMX つの主要プロバイダーの WAF で機能しました。 XNUMX 社すべてが製品を更新して、SQL インジェクション検査プロセスで JSON 構文をサポートするようになりました。 ただし、他の WAF で使用されているテクノロジには、攻撃者が機密のビジネス データや顧客データにアクセスするために使用できる重大な脆弱性があるというリスクがあります。
Web アプリケーション ファイアウォールの背景
Web アプリケーション ファイアウォール (WAF) は、Web ベースのアプリケーションと API を悪意のある外部 HTTP トラフィック、特にクロスサイト スクリプティングと SQL インジェクション攻撃から保護するように設計されています。 これらは既知であり、比較的簡単に修正できますが、依然として脅威であるため、OWASP の最も重要な脆弱性トップ 10 に繰り返しランクインしています。
WAF は、ルーターやアクセス ポイントなどの接続されたデバイスを監視するクラウドベースの管理プラットフォームを保護するためにますます使用されています。 WAF のトラフィック スキャン機能とブロック機能をバイパスできる攻撃者は、多くの場合、この方法で機密性の高いビジネス データや顧客データに直接アクセスできます。 ただし、WAF バイパスは比較的まれであり、通常は特定のベンダーの実装を対象としています。
JSON サポートがないため、SQL インジェクション攻撃が可能
Team82 は、業界をリードするベンダー (Palo Alto、F5、Amazon Web Services、Cloudflare、および Imperva) からの複数の Web アプリケーション ファイアウォールの最初の一般的な回避を表す攻撃手法を発見しました。 影響を受けるすべてのベンダーは、Team82 の開示を認め、製品の SQL 検証プロセスに JSON 構文のサポートを追加するバグ修正を実装しました。
WAF は、クラウドから追加のセキュリティを提供するように設計されています。 ただし、攻撃者がこれらの保護メカニズムを回避できれば、システムに広範囲にアクセスできます。 この新しいテクノロジーにより、攻撃者はバックエンド データベースにアクセスし、追加の脆弱性とエクスプロイトを使用して、サーバーへの直接アクセスまたはクラウド経由で情報を盗み出すことができます。 これは、クラウドベースの管理および監視システムに移行した OT および IoT プラットフォームにとって特に重要です。
詳細情報、背景、および何よりも技術的な詳細については、対応する Claroty のブログ投稿を参照してください。
詳細は Claroty.com をご覧ください
クラロティについて 産業用サイバーセキュリティ企業である Claroty は、世界中の顧客が OT、IoT、および IIoT 資産を発見、保護、管理するのを支援しています。 同社の包括的なプラットフォームは、顧客の既存のインフラストラクチャおよびプロセスとシームレスに統合され、透明性、脅威の検出、リスクと脆弱性の管理、および安全なリモート アクセスのための幅広い産業用サイバーセキュリティ制御を提供し、総所有コストを大幅に削減します。