Un nuovo metodo di attacco permette di aggirare i Web Application Firewall (WAF) di vari vendor, per infiltrare sistemi e aiutare potenziali attaccanti a guadagnare l’accesso a informazioni sensibili di clienti anche di fascia business.
“I Web Application Firewall”, commenta Rosita Galiandro, Security Analyst e Responsabile Osservatorio Cybersecurity di Exprivia, “sono una linea chiave di difesa per aiutare a filtrare, monitorare e bloccare il traffico HTTPS da e verso un’applicazione Web e sono in grado di proteggere da attacchi come, ad esempio, cross-site scripting (XSS), SQL Injection eccetera”.
Indice degli argomenti
Il metodo di attacco che aggira le Web Application Firewall
“I WAF sono sempre più utilizzati per proteggere le piattaforme di management cloud-based che supervisionano i dispositivi integrati connessi come router e punti di accesso”, continua Rosita Galiandro.
La capacità di bypassare i Web Application Firewall di vari fornitori cloud permette agli attaccanti “di infiltrarsi all’interno dei sistemi informatici”. Consente “potenzialmente di utilizzare ulteriori vulnerabilità per esfiltrare dati e ottenere accesso a informazioni sensibili aziendali e di clienti”, mette in guardia Galiandro.
La tecnica di attacco “prevede l’aggiunta della sintassi JSON ai payload di SQL Injection che un WAF non è in grado di analizzare”. Si è osservato che i vari fornitori di WAF non supportavano la sintassi del formato di scambio file e dati JSON come parte del loro processo di rilevamento SQL Injection, consentendo di anteporre la sintassi JSON a un’istruzione SQL che rendeva cieco un WAF ad un attacco malevolo”, spiega Galiandro.
Infatti il “coinvolgimento della sintassi JSON di cui i vari fornitori di WAF erano privi di supporto”, sottolinea il ricercatore di Claroty, Noam Moshe, “lascia i WAF ciechi a questi attacchi”.
La tecnica di attacco
“Un utente malintenzionato potrebbe collegare la sintassi JSON ai payload SQL injection per ingannare il firewall, aggirare la protezione del WAF e utilizzare ulteriori vulnerabilità per esfiltrare i dati”, continua Rosita Galiandro.
“Il problema principale del baypass su WAF”, prosegue Galiandro, “è una mancanza di conformità tra i motori di database e le soluzioni di rilevamento SQL Injection”.
Ciò succede “perché JSON in SQL non è una funzionalità così conosciuta e la sua sintassi non è stata aggiunta al parser WAF“, illustra l’esperta di cybersecurity.
La lentezza dei fornitori ad aggiungere il supporto JSON “ha permesso di creare nuovi payload SQL Injection che includono JSON in grado di aggirare la sicurezza fornita dai WAF”, avverte Galiandro.
Infatti, “i moderni motori di database oggi supportano la sintassi JSON come impostazione predefinita, ricerche e modifiche di base. Oltre a una serie di funzioni e operatori JSON”.
“Sebbene il supporto JSON sia la norma tra i motori di database, lo stesso non si può dire per i WAF”, sottolinea Galiandro.
Rischio di diffusione
La tecnica di bypass potrebbe diffondersi in una varietà di attacchi. “I WAF”, spiega l’esperta, “servono a proteggere non solo le applicazioni Web ma anche le API e le piattaforme di management cloud-based“.
Ad esempio, “i cyber criminali potrebbero utilizzare il bypass per accedere ai database back-end. Sfruttando ulteriori vulnerabilità, potrebbero esfiltrare i dati attraverso server compromessi o istanze cloud“, avvisa la Responsabile Osservatorio Exprivia sulla cyber security.
“Viene utilizzato l’operatore JSON ‘@>’ per inserire il WAF in un loop e fornire payload SQL Injection dannosi: ‘ or data @> ‘{“a”:”b”} ‘ —. il WAF a questo punto non contrassegnerà la richiesta come dannosa dando il seguente output: http/1.1 200 OK. All’inizio della risposta si specifica il protocollo usato (HTTP/1.1)”, evidenzia Galiandro.
“Lo Status Code indica l’esito della richiesta fatta (200 OK vuol dire che la richiesta ha avuto successo e il server ha fornito i dati chiesti)”, continua l’esperta.
Pertanto, basta anteporre la semplice sintassi JSON all’inizio della richiesta, per essere in grado di esfiltrare informazioni sensibili sfruttando la vulnerabilità SQL Injection sul cloud.
“Questo bypass potrebbe compromettere anche i processi IoT e OT monitorati e gestiti dal cloud.”, ricorda Galiandro.
Come proteggersi
La patch è disponibile sia in cloud che in on-premise. Occorre scaricarla ed installarla urgentemente, per evitare gravi conseguenze.
“A tal riguardo è importante che tutti i fornitori effettuino revisioni per il supporto JSON. Inoltre le organizzazioni dovrebbero assicurarsi di eseguire versioni aggiornate dei sistemi di sicurezza per prevenire e bloccare possibili tentativi di bypass“, conclude Galiandro.
Sono già corsi ai ripari diversi vendor. I ricercatori del Team82 di Claroty hanno quindi sviluppato una “tecnica di attacco” che agisce da primo bypass generico di più firewall per applicazioni Web venduti da vendor del settore. Il bypass funziona su WAF di cinque fornitori: Amazon Web Services (AWS), Cloudflare, F5, Imperva e Palo Alto Networks. Tutti i fornitori interessati dopo la divulgazione di Team82 hanno implementato correzioni che aggiungono il supporto per la sintassi JSON ai processi di ispezione SQL dei loro prodotti.
