Il bypass generico Team82 funziona con i Web Application Firewall commercializzati da cinque fornitori: Palo Alto Networks, Amazon Web Services, Cloudflare, F5 e Imperva. I Web Application Firewall sono progettati per salvaguardare le applicazioni. Oltre alle API basate sul Web dal traffico HTTP dannoso proveniente dall’esterno. In particolare gli script cross-site e gli attacchi SQL injection, che rimangono una costante per i radar della sicurezza informatica.
I Web Application Firewall, cioè WAF
Anche se riconosciuta e relativamente semplice da risolvere, l’SQL injection è sempre presente nell’output delle scansioni automatiche del codice. Viene regolarmente inserita negli elenchi delle principali vulnerabilità di settore, inclusa la OWASP Top 10. Così nei primi anni 2000, l’introduzione dei WAF è stata in gran parte dettata dalla volontà di contrastare questi errori di codifica.
Una linea di sicurezza e protezione
I WAF sono ora una linea di difesa chiave per proteggere le informazioni organizzative archiviate in un database raggiungibile tramite un’applicazione web. Inoltre, vengono sempre più utilizzati per proteggere le piattaforme di gestione basate su cloud che supervisionano i dispositivi integrati connessi, come router e access point. Quindi, un utente malintenzionato in grado di aggirare le funzionalità di scansione e blocco del traffico dei WAF può avere una linea diretta con le informazioni aziendali sensibili e sui clienti. Per fortuna tali bypass sono ancora rari e una tantum mirati all’implementazione di un particolare fornitore.
Come impostare una tecnica di attacco
Team82 ha sviluppato una tecnica di attacco che funge da primo bypass generico di più firewall per applicazioni Web venduti da fornitori leader del settore. Il nostro bypass funziona su WAF di cinque fornitori leader: Palo Alto, F5, Amazon Web Services, Cloudflare e Imperva. Tutti i fornitori interessati dopo la divulgazione di Team82 hanno implementato correzioni che aggiungono il supporto per la sintassi JSON ai processi di ispezione SQL dei loro prodotti.
Da Team82 un bypass generico per i Web Application Firewall
La tecnica utilizzata da Team82 si basa innanzitutto sulla comprensione del modo in cui i WAF identificano e contrassegnano la sintassi SQL come dannosa. In seguito, quindi, i ricercatori Claroty si sono focalizzati sull’individuazione della sintassi SQL che non viene riconosciuta dai WAF. Rivelando così JSON. JSON è un formato standard per lo scambio di file e dati. Esso è comunemente utilizzato quando i dati vengono inviati da un server a un’applicazione web.
Questo supporto è stato introdotto nei database SQL da quasi 10 anni. Oggi, i moderni motori di database supportano la sintassi JSON per impostazione predefinita, ricerche e modifiche di base. Mentre il supporto JSON è la norma tra i motori di database, lo stesso non si può dire per i WAF. I provider di questa tipologia di Firewall si sono rivelati lenti nell’aggiungere questo supporto ai propri prodotti. Permettendo così di creare nuovi payload SQL injection, che includono JSON, in grado di aggirarne la sicurezza.
Il comportamento degli aggressori
Gli aggressori che utilizzano questa nuova tecnica potrebbero accedere a un database back-end. Oltre a utilizzare ulteriori vulnerabilità ed exploit per esfiltrare le informazioni tramite l’accesso diretto al server o tramite il cloud. Ciò è particolarmente importante per le piattaforme OT e IoT che sono passate a sistemi di gestione e monitoraggio basati su cloud. I WAF devono garantire una sicurezza aggiuntiva per il cloud. In caso contrario, i criminali in grado di aggirare queste protezioni avrebbero accesso indisturbato ai sistemi.