כך נפרצו הגנות ה-WAF

כך נפרצו הגנות ה-WAF
מאת: מערכת Telecom News, 11.12.22, 11:39

נחשפה טכניקת תקיפה חדשה למעקף פתרונות ה-WAF (Web application firewall) המובילים בתעשייה.
 
צוות המחקר Team82 בחברת האבטחה למערכות סייבר-פיזיות, קלארוטי  (Claroty), חשף טכניקת תקיפה חדשה למעקף פתרונות ה-WAF המובילים בתעשייה. פתרונות WAF מגנים על יישומים וממשקי API מבוססי ווב מפני תעבורה חיצונית זדונית שמגיעה מהאינטרנט, בעיקר מתקפות XSS ו-SQL Injection.

טכניקת התקיפה, שנחשפה, פועלת כמעקף גנרי לפתרונות WAF הנמכרים ע"י ספקים מובילים בתעשייה, בהם Palo Alto, F5, Amazon AWS, Cloudflare ו-Imperva.

טכניקת התקיפה של Team82 מסתמכת תחילה על הבנת האופן, שבו רכיבי WAF מזהים ומסמנים SQL syntax  כזדוני, ולאחר מכן מציאת SQL syntax שה-WAF אינו מסוגל לזהות.

צוות המחקר מצא, שפתרונות ה-WAF אתרו בקלות התקפות SQLi, אך שילוב JSON ל-SQL syntax הותירה את ה-WAF עיוור להתקפות אלו.

JSON הוא פורמט סטנדרטי של חילופי קבצים ומידע, שנמצא בשימוש בד"כ כאשר נתונים נשלחים מהדפדפן לאפליקציית ווב. ספקים רבים איחרו להוסיף תמיכה ב-JSON, דבר, שאפשר לעקוף את האבטחה, שפתרונות ה-WAF מספקים.

כל הספקים במחקר עודכנו לגבי טכניקת ההתקפה החדשנית ועדכנו את הפתרונות שלהם כך, שיתמכו ב- JSON syntax בתהליך הבקרה של ה- SQL injection.

נועם משה, (בתמונה משמאל, צילום: שרון בריזינוב), חוקר חולשות בקלארוטי: "תוקף, שמסוגל לעקוף את יכולות סריקת התנועה והחסימה של פתרונות ה-WAF, זוכה לקו ישיר לאפליקציה ובהינתן חולשה נוספת יכול לגשת למידע רגיש של לקוחות. הדבר הוא קריטי במיוחד בפלטפורמות OT ו-IoT בתשתיות קריטיות, דוגמת תחנות כוח, מפעלי מים, בתי חולים ותעשיות אחרות, שעברו למערכות ניהול וניטור מבוססות ענן. מעקפים כאלה לרוב מכוונים כלפי ספק מסוים כדי לקבל גישה נרחבת למערכות הללו".
 
המחקר המלא - כאן.