Beliebte WAFs werden von JSON Bypass unterwandert

Web Application Firewalls (WAFs) von fünf großen Anbietern sind empfänglich pro böswillige Anfragen, die die beliebte JavaScript Object Notation (JSON) verwenden, um Datenbankbefehle zu verschleiern und dieser Erkennung zu entkommen.

Dies sagt die Anwendungssicherheitsfirma Claroty, deren Forscher herausgefunden nach sich ziehen, dass WAFs, die von Amazon Web Services, Cloudflare, F5, Imperva und Palo Alto produziert werden, bösartige SQL-Befehle, die im JSON-Format kodiert sind, nicht identifizieren können, wodurch böswillige Anfragen an die weitergeleitet werden können Backend-Elektronischer Karteikasten. Die Recherche deckte ein grundlegendes Missverhältnis hinauf: Große SQL-Datenbanken verstehen in JSON geschriebene Befehle, während WAFs dies nicht tun.

Die Technologie ermöglicht es Angreifern, hinauf Datenmaterial zuzugreifen und sie in einigen Fällen zu ändern sowie die Nutzung zu kompromittieren, sagt Noam Moshe, ein Sicherheitsforscher im Team82-Forschungsteam von Claroty.

„Durch die Umgehungsstraße des WAF-Schutzes können Angreifer andere Schwachstellen in Webanwendungen ausnutzen und selbige Anwendungen notfalls übernehmen“, sagt er gegensätzlich Dark Reading. „Dies ist sogar noch relevanter in Cloud-gehosteten Anwendungen, wo viele WAFs standardmäßig bereitgestellt werden.“

Webanwendungs-Firewalls sind eine kritische Höhe zum Schutzmechanismus vor Anwendungsangriffen und werden oft verwendet, um Entwicklern klitzekleines bisschen mehr Raum zum Luft holen zu schenken, damit böswillige Typen nicht versuchen, Programmierfehler auszunutzen. Während viele Unternehmen sich oft hinauf sie wie Sicherheitskrücke verlassen, sind WAFs was auch immer andere wie perfekt, und Forscher und Angreifer nach sich ziehen viele Möglichkeiten gefunden, sie zu umgehen.

In einer Umfrage aus dem Jahr 2020 gaben bspw. vier von zehn Sicherheitsexperten an, dass mindestens die Hälfte dieser Anwendungsangriffe die WAF umgangen hätten. In neueren Forschungsergebnissen, die im Mai veröffentlicht wurden, verwendete ein Team von akademischen Forschern dieser Zhejiang-Universität in Volksrepublik China verschiedene Methoden zur Verschleierung von Injektionsangriffen hinauf Datenbanken und stellte starr, dass – neben anderen Techniken – JSON dazu hinzufügen könnte, die Angriffe vor Cloud-basierten WAFs zu verbergen.

„Erkennungssignaturen waren aufgrund verschiedener Schwachstellen nicht robust“, sagten die Forscher in vergangener Zeit. „Alleinig dasjenige Hinzufügen von Kommentaren oder Leerzeichen kann wenige WAFs umgehen, hinwieder die effektivste Veränderung hängt von bestimmten WAFs ab.“

WAFs „erhalten“ kein JSON

Die ersten Hinweise hinauf verschmelzen möglichen Überfall kamen den Forschern aus unabhängigen Experimenten, im Rahmen denen die Verwaltungsplattform pro drahtlose Geräte von Cambium Networks untersucht wurde. Die Entwickler dieser Plattform fügten vom Benutzer bereitgestellte Datenmaterial gradlinig an dasjenige Finale einer Nachfrage an, eine Technologie, die Claroty davon überzeugte, eine allgemeinere Nutzung zu untersuchen.

Am Finale fanden die Forscher hervor, dass sie legitime JSON-Hereinholen an gutartigen SQL-Identifikator anhängen konnten, wodurch sie die Fähigkeit von WAFs umgehen konnten, Injection-Angriffe zu wiedererkennen, und Angreifern die Möglichkeit gaben, direkten Zugriff hinauf Back-End-Datenbanken zu erhalten, wie die Wissenschaft von Claroty zeigte.

Die Technologie funktionierte mit den meisten großen relationalen Datenbanken, darunter PostgreSQL, MSSQL, MySQL und SQLite von Microsoft. Während dasjenige Unternehmen drei technische Einschränkungen fertigmachen musste – zum Paradebeispiel, dass es zunächst nur Zahlen und keine Zeichenfolgen abrufen konnte – schufen die Forscher schließlich eine Allzweckumgehung pro große Webanwendungs-Firewalls.

„Nachdem wir jeder drei Einschränkungen umgangen hatten, blieb uns eine große Nutzlast, die es uns ermöglichte, irgendwelche Datenmaterial zu extrahieren“, schrieben die Forscher in Clarotys Ratgeber. „Und tatsächlich, wie wir selbige Payload verwendeten, gelang es uns, sensible Informationen, die in dieser Elektronischer Karteikasten gespeichert sind, von Sitzungscookies solange bis hin zu Tokens, SSH-Schlüsseln und gehashten Passwörtern zu exfiltrieren.“

Verschleiern, um zu entkommen

Die Verschleierung von bösartigem Identifikator zur Umgehungsstraße von Versus-Injection-Sicherheitsmaßnahmen hat eine lange Zeit Historie. Im Jahr 2013 begannen Angreifer bspw. damit, eine Schwachstelle im Ruby on Rails-Framework auszunutzen, die es ermöglichte, JSON-Identifikator zu verwenden, um die Authentifizierung zu umgehen und SQL-Befehle in eine Webapplikation einzuschleusen.

Unternehmen sollten ihre WAFs-Lösungen updaten, um von den neuesten Fixes zu profitieren, sagt Moshe. Welcher Sicherheitsforscher betonte Neben…, dass die Unternehmen zusätzliche Sicherheitsvorkehrungen treffen sollten, um zukünftige Umgehungstechniken abzufangen.

„Es ist wichtig, eine WAF-Störungsbehebung nicht wie einzige Verteidigungslinie zu verwenden“, sagt er. „Stattdessen wird empfohlen, Ihre Anwendungen mit vielen Sicherheitsmechanismen zu sichern, wie z. B. dasjenige Knapp halten des Zugriffs hinauf Ihre Nutzung [and] Sicherheitsfunktionen anstellen.”

Die Forscher benachrichtigten jeder fünf Versorger dieser anfälligen WAFs, von denen jeder dasjenige Problem bestätigte und seitdem JSON-Syntaxunterstützung zu ihren Produkten hinzugefügt hat, erklärte Claroty in seinem Advisory.