BLACK HAT ASIA 2022 — Un equipo de investigadores universitarios usó aprendizaje automático básico para identificar patrones que los firewalls de aplicaciones web (WAF) comunes no detectan como maliciosos, pero que aún pueden entregar la carga útil de un atacante, dijo uno de los investigadores en una presentación en el Conferencia de seguridad Black Hat Asia en Singapur el jueves.
Los investigadores de la Universidad de Zhejiang en China comenzaron con formas comunes de transformar ataques de inyección para apuntar a bases de datos de aplicaciones web utilizando el lenguaje de consulta estructurado (SQL) común. En lugar de utilizar una búsqueda de fuerza bruta de posibles omisiones, el equipo creó una herramienta, AutoSpear, que utiliza un grupo de posibles omisiones que se pueden combinar mediante una estrategia de mutación ponderada y luego probar para determinar la efectividad de las omisiones para evadir la seguridad. de las ofertas de WAF como servicio.
La herramienta eludió con éxito, según lo medido por una tasa de falsos negativos, los siete WAF probados basados en la nube con una variedad de éxitos, desde un mínimo del 3 % para ModSecurity hasta un máximo del 63 % para los WAF de Amazon Web Services y Cloudflare. , dijo Zhenqing Qu, estudiante de posgrado de la Universidad de Zhejiang y miembro del equipo de AutoSpear.
“Los estudios de casos han demostrado el potencial [de la herramienta], porque las firmas de detección no eran sólidas debido a varias vulnerabilidades”, dijo. "Simplemente agregar comentarios o espacios en blanco puede pasar por alto algunos WAF, pero la mutación más efectiva depende de los WAF específicos".
Los cortafuegos de aplicaciones web son una forma común de defender el software en la nube y los servicios web importantes de los ataques, filtrando los ataques de aplicaciones comunes y los intentos de inyectar comandos de base de datos, también conocidos como inyección SQL (SQLi). Un estudio de 2020, por ejemplo, encontró que 4 de cada 10 profesionales de seguridad creían que 50% de los ataques a la capa de aplicación que apuntó a su aplicación en la nube omitió su WAF. Otros ataques se centran en comprometer a la WAF a través de su inspección del tráfico.
In su presentación, el equipo de la Universidad de Zhejiang se centró en las formas de transformar las solicitudes utilizando 10 técnicas diferentes para los cuatro métodos de solicitud comunes: solicitudes POST y GET, ya sea usando codificación JSON o no. Los investigadores encontraron que los cuatro tipos diferentes de solicitudes fueron tratados de la misma manera por cuatro proveedores de WAF diferentes, mientras que otros abordaron las entradas de manera diferente.
Al mutar sistemáticamente las solicitudes con diferentes combinaciones de las 10 técnicas, como comentarios en línea, sustitución de espacios en blanco y sustitución de las tautologías comunes (es decir, “1=1”) por otras (como “2<3”), el Los investigadores encontraron un conjunto de transformaciones que funcionaron mejor contra cada uno de los siete WAF diferentes.
“[C]ombinando múltiples métodos de mutación, AutoSpear es mucho más efectivo para eludir las principales soluciones de WAF como servicio debido a sus firmas de detección vulnerables para la coincidencia semántica y la coincidencia de expresiones regulares”, afirmaron los investigadores en sus diapositivas de presentación.
Los ataques de inyección SQL continúan siendo un riesgo importante para muchas empresas. Los 10 principales riesgos de seguridad web de OWASP calificaron la clase de vulnerabilidades de inyección en la parte superior de su lista de riesgos en 2013 y 2017, y como el riesgo No. 3 en 2021. La lista, publicada aproximadamente cada cuatro años, utiliza más de 400 clases amplias de debilidades para determinar las amenazas más importantes para las aplicaciones web.
El equipo de investigación comenzó con la creación de aplicaciones web que tenían vulnerabilidades específicas y luego utilizó su enfoque para transformar las vulnerabilidades conocidas en una solicitud única que WAF no detectaría.
Eludir los firewalls de aplicaciones web generalmente se enfoca en tres enfoques amplios. A nivel de arquitectura, los atacantes pueden encontrar formas de eludir el WAF y acceder directamente al servidor de origen. A nivel de protocolo, una variedad de técnicas pueden usar errores o discrepancias en la codificación de supuestos, como Contrabando de solicitudes HTTP, para omitir los WAF. Finalmente, a nivel de carga útil, los atacantes pueden usar una variedad de transformaciones de codificación para engañar al WAF para que no detecte un ataque, y al mismo tiempo generar una solicitud válida desde el punto de vista del servidor de la base de datos.
Las transformaciones permitieron que los ataques tuvieran éxito desde el 9 % de las veces hasta casi el 100 % de las veces, según el WAF y el formato de la solicitud, afirmó el equipo en su presentación. En un caso, el investigador descubrió que solo al agregar un carácter de nueva línea, "/n", se pasaba por alto un importante WAF como servicio.
AWS, Cloudflare afectado
El equipo de investigación informó sobre las vulnerabilidades a los siete proveedores de WAF: AWS, Cloudflare, CSC, F5, Fortinet, ModSecurity y Wallarm. Cloudflare, F5 y Wallarm han solucionado sus problemas, dijo Zhenqing. El equipo también proporcionó a los proveedores patrones de omisión que se pueden usar para detectar los tipos de transformaciones más comunes.
“Los otros cuatro todavía están trabajando con nosotros, ya que las fallas no se pueden reparar fácilmente”, dijo.
