Дослідники безпеки Claroty знайшли способи обійти брандмауери веб-додатків (WAF). Відсутність підтримки JSON дозволяє атакувати потенційно всіх постачальників. Провайдери Palo Alto Networks, Amazon Web Services, Cloudflare, F5 та Imperva тим часом оновили свої продукти.
Дослідники безпеки з Team82, дослідницького відділу спеціалістів з безпеки кіберфізичних систем (CPS) Claroty, визначили можливість базового обходу провідних у галузі брандмауерів веб-додатків (WAF). Техніка атаки передбачає додавання синтаксису JSON до корисних даних SQL-ін’єкції.
Провідні постачальники WAF вже відповіли
Хоча більшість механізмів баз даних підтримують JSON протягом десяти років, численні постачальники WAF не вбудували підтримку JSON у свої продукти. Подібним чином WAF сліпий для атак, які додають синтаксис JSON до SQL. Метод працював на WAF від п’яти провідних постачальників: Palo Alto Networks, Amazon Web Services, Cloudflare, F5 та Imperva. Усі п’ять оновили свої продукти для підтримки синтаксису JSON у процесі перевірки SQL-ін’єкції. Однак існує ризик того, що технологія, яка використовується в інших WAF, є серйозною вразливістю, яку можуть використати зловмисники, щоб отримати доступ до конфіденційних даних бізнесу та клієнтів.
Довідка про брандмауери веб-додатків
Брандмауери веб-додатків (WAF) призначені для захисту веб-додатків і API від зловмисного зовнішнього трафіку HTTP, зокрема міжсайтових сценаріїв і атак SQL-ін’єкцій. Незважаючи на те, що вони відомі та їх відносно легко виправити, вони все одно становлять загрозу, тому неодноразово потрапляють до топ-10 найбільш важливих уразливостей OWASP.
WAF також все частіше використовуються для захисту хмарних платформ керування, які відстежують підключені пристрої, такі як маршрутизатори та точки доступу. Зловмисники, які можуть обійти сканування трафіку WAF і можливості блокування, часто мають прямий доступ до конфіденційних бізнес-даних і даних клієнтів таким чином. Однак обхід WAF відносно рідкісний і зазвичай націлений на реалізацію певного постачальника.
Відсутність підтримки JSON допускає атаки SQL-ін’єкції
Команда Team82 виявила техніку атаки, яка представляє перше загальне ухилення від кількох брандмауерів веб-додатків від провідних постачальників галузі (Palo Alto, F5, Amazon Web Services, Cloudflare та Imperva). Усі постраждалі постачальники визнали розголошення Team82 і впровадили виправлення помилок, які додають підтримку синтаксису JSON до процесів перевірки SQL своїх продуктів.
WAF розроблено для забезпечення додаткового захисту від хмари. Однак, якщо зловмисникам вдається обійти ці механізми захисту, вони отримують далекосяжний доступ до систем. Завдяки новій технології зловмисники можуть отримати доступ до серверної бази даних і використовувати додаткові вразливості та експлойти для викрадання інформації через прямий доступ до сервера або через хмару. Це особливо важливо для платформ OT та IoT, які перейшли на хмарні системи управління та моніторингу.
Додаткову інформацію, передумови та, перш за все, більше технічних деталей можна знайти у відповідній публікації блогу від Claroty.
Більше на Claroty.com
Про Клароті Claroty, компанія промислової кібербезпеки, допомагає своїм глобальним клієнтам виявляти, захищати та керувати своїми активами OT, IoT та IIoT. Комплексна платформа компанії бездоганно інтегрується з існуючою інфраструктурою та процесами клієнтів і пропонує широкий спектр засобів контролю промислової кібербезпеки для прозорості, виявлення загроз, управління ризиками та вразливістю та безпечного віддаленого доступу – зі значно зниженою загальною вартістю володіння.