Os pesquisadores de segurança da Claroty descobriram maneiras de contornar os Web Application Firewalls (WAF). A falta de suporte JSON permite ataques em potencialmente todos os provedores. Os provedores Palo Alto Networks, Amazon Web Services, Cloudflare, F5 e Imperva atualizaram seus produtos.
Pesquisadores de segurança da Team82, o braço de pesquisa dos especialistas em segurança de sistemas ciberfísicos (CPS) da Claroty, identificaram a possibilidade de um desvio básico dos firewalls de aplicativos da web (WAF) líderes do setor. A técnica de ataque envolve anexar a sintaxe JSON às cargas de injeção SQL.
Os principais provedores de WAF já responderam
Embora a maioria dos mecanismos de banco de dados suporte JSON por uma década, vários fornecedores de WAF não incorporaram suporte a JSON em seus produtos. Da mesma forma, o WAF é cego para ataques que precedem JSON à sintaxe SQL. O método funcionou em WAFs de cinco provedores líderes: Palo Alto Networks, Amazon Web Services, Cloudflare, F5 e Imperva. Todos os cinco agora atualizaram seus produtos para oferecer suporte à sintaxe JSON em seu processo de inspeção de injeção SQL. No entanto, existe o risco de que a tecnologia usada em outros WAFs represente uma vulnerabilidade grave que os invasores podem usar para obter acesso a dados confidenciais de negócios e clientes.
Histórico sobre firewalls de aplicativos da web
Os firewalls de aplicativos da Web (WAF) são projetados para proteger aplicativos e APIs baseados na Web contra tráfego HTTP externo mal-intencionado, especialmente scripts entre sites e ataques de injeção de SQL. Embora sejam conhecidos e relativamente fáceis de corrigir, eles ainda representam uma ameaça e, portanto, entram repetidamente no Top 10 das vulnerabilidades mais importantes da OWASP.
Os WAFs também são cada vez mais usados para proteger plataformas de gerenciamento baseadas em nuvem que monitoram dispositivos conectados, como roteadores e pontos de acesso. Os invasores que conseguem contornar os recursos de bloqueio e varredura de tráfego do WAF geralmente têm acesso direto a dados confidenciais de negócios e clientes dessa maneira. No entanto, os desvios do WAF são relativamente raros e geralmente visam a implementação de um fornecedor específico.
A falta de suporte a JSON permite ataques de injeção de SQL
O Team82 descobriu uma técnica de ataque que representa a primeira evasão genérica de vários firewalls de aplicativos da Web de fornecedores líderes do setor (Palo Alto, F5, Amazon Web Services, Cloudflare e Imperva). Todos os fornecedores afetados reconheceram a divulgação do Team82 e implementaram correções de bugs que adicionam suporte à sintaxe JSON aos processos de validação SQL de seus produtos.
WAFs são projetados para fornecer segurança adicional da nuvem. No entanto, se os invasores conseguirem contornar esses mecanismos de proteção, eles terão acesso de longo alcance aos sistemas. Com a nova tecnologia, os invasores podem acessar um banco de dados de back-end e usar vulnerabilidades e explorações adicionais para exfiltrar informações por meio de acesso direto ao servidor ou pela nuvem. Isso é especialmente importante para plataformas OT e IoT que migraram para sistemas de gerenciamento e monitoramento baseados em nuvem.
Mais informações, histórico e, acima de tudo, mais detalhes técnicos podem ser encontrados na postagem de blog correspondente da Claroty.
Mais em Claroty.com
Sobre a Claroty A Claroty, a Industrial Cybersecurity Company, ajuda seus clientes globais a descobrir, proteger e gerenciar seus ativos OT, IoT e IIoT. A plataforma abrangente da empresa integra-se perfeitamente com a infraestrutura e os processos existentes dos clientes e oferece uma ampla gama de controles industriais de segurança cibernética para transparência, detecção de ameaças, gerenciamento de riscos e vulnerabilidades e acesso remoto seguro - com custo total de propriedade significativamente reduzido.