Detallan un nuevo método de ataque para eludir los populares firewalls de aplicaciones web
Implica agregar la sintaxis JSON a las cargas útiles de inyección SQL
Se puede utilizar un nuevo método de ataque para eludir los firewalls de aplicaciones web (WAF) de varios proveedores e infiltrarse en los sistemas, lo que podría permitir a los atacantes obtener acceso a información confidencial comercial y de clientes.
Los firewalls de aplicaciones web son una línea de defensa clave para ayudar a filtrar, monitorear y bloquear el tráfico HTTP(S) hacia y desde una aplicación web, y proteger contra ataques como falsificación entre sitios, secuencias de comandos entre sitios (XSS), inclusión de archivos e inyección SQL.
El bypass genérico "implica agregar la sintaxis JSON a las cargas útiles de inyección SQL que un WAF no puede analizar", dijo el investigador de Claroty, Noam Moshe. "La mayoría de los WAF detectarán fácilmente los ataques SQLi, pero anteponer JSON a la sintaxis SQL dejó al WAF ciego ante estos ataques".
La empresa de ciberseguridad industrial y de IoT dijo que su técnica funcionó con éxito contra WAF de proveedores como Amazon Web Services (AWS), Cloudflare, F5, Imperva y Palo Alto Networks, todos los cuales han lanzado desde entonces actualizaciones para admitir la sintaxis JSON durante la inspección de inyección SQL.
Con los WAF actuando como una barrera de seguridad contra el tráfico HTTP(S) externo malicioso, un atacante con capacidades para traspasar la barrera puede obtener acceso inicial a un entorno de destino para una mayor explotación posterior.
El mecanismo de derivación ideado por Claroty se basa en la falta de compatibilidad con JSON para WAF para crear cargas útiles de inyección de SQL no autorizadas que incluyen sintaxis JSON para eludir las protecciones.
"Los atacantes que utilizan esta novedosa técnica podrían acceder a una base de datos interna y utilizar vulnerabilidades y exploits adicionales para filtrar información a través del acceso directo al servidor o a través de la nube", explicó Moshe. "Este es un desvío peligroso, especialmente a medida que más organizaciones continúan migrando más negocios y funcionalidades a la nube".
