Los firewalls de aplicaciones web (WAF) de cinco proveedores principales son vulnerables a solicitudes maliciosas que usan la popular notación de objetos de JavaScript (JSON) para ofuscar los comandos de la base de datos y evitar la detección.
Eso es según la firma de seguridad de aplicaciones Claroty, cuyos investigadores descubrieron que los WAF producidos por Amazon Web Services, Cloudflare, F5, Imperva y Palo Alto no logran identificar los comandos SQL maliciosos codificados en formato JSON, lo que permite el reenvío de solicitudes maliciosas al base de datos de fondo. La investigación descubrió un desajuste fundamental: las principales bases de datos SQL entienden los comandos escritos en JSON, mientras que las WAF no.
La técnica permite a los atacantes acceder y, en algunos casos, cambiar datos y comprometer la aplicación, dice Noam Moshe, investigador de seguridad del equipo de investigación Team82 de Claroty.
“Al eludir la protección WAF, los atacantes pueden explotar otras vulnerabilidades en las aplicaciones web y potencialmente apoderarse de dichas aplicaciones”, le dice a Dark Reading. “Esto es aún más relevante en las aplicaciones alojadas en la nube, donde muchos WAF se implementan de forma predeterminada”.
Los cortafuegos de aplicaciones web son una capa fundamental para protegerse contra los ataques de aplicaciones y, a menudo, se utilizan para dar a los desarrolladores un poco más de espacio para respirar frente a los tipos nefastos que intentan aprovechar los errores de codificación. Si bien a menudo se confía en ellos como una muleta de seguridad por parte de muchas empresas, los WAF están lejos de ser perfectos y los investigadores y atacantes han encontrado muchas formas de eludirlos.
En una encuesta de 2020, por ejemplo, cuatro de cada 10 profesionales de la seguridad afirmaron que al menos la mitad de los ataques a aplicaciones habían pasado por alto el WAF. En una investigación más reciente publicada en mayo, un equipo de investigadores académicos de la Universidad de Zhejiang en China utilizó una variedad de métodos para ofuscar ataques de inyección en bases de datos, descubriendo que, entre otras técnicas, JSON podría ayudar a ocultar los ataques de los WAF basados en la nube.
“Las firmas de detección no eran sólidas debido a varias vulnerabilidades”, dijeron los investigadores en ese momento. "Simplemente agregar comentarios o espacios en blanco puede pasar por alto algunos WAF, pero la mutación más efectiva depende de los WAF específicos".
Los WAF no "obtienen" JSON
El primer indicio de los investigadores de un posible ataque provino de experimentos no relacionados que probaron la plataforma de administración de dispositivos inalámbricos de Cambium Networks. Los desarrolladores de esa plataforma agregaron datos proporcionados por el usuario directamente al final de una consulta, una técnica que convenció a Claroty de investigar una aplicación más general.
Al final, los investigadores descubrieron que podían agregar consultas JSON legítimas al código SQL benigno, lo que les permitía eludir la capacidad de los WAF para detectar ataques de inyección y brindaba a los atacantes la capacidad de obtener acceso directo a las bases de datos de back-end. La investigación de Claroty mostró.
La técnica funcionó contra la mayoría de las principales bases de datos relacionales, incluidas PostgreSQL, MSSQL de Microsoft, MySQL y SQLite. Si bien la empresa tuvo que superar tres limitaciones técnicas, como inicialmente solo poder recuperar números y no cadenas de caracteres, los investigadores finalmente crearon un bypass de propósito general para los principales firewalls de aplicaciones web.
“Después de pasar por alto las tres limitaciones, nos quedamos con una gran carga útil que nos permite extraer los datos que elegimos”, escribieron los investigadores en el aviso de Claroty. “Y, de hecho, cuando usamos esta carga útil, logramos filtrar información confidencial almacenada en la base de datos, desde cookies de sesión hasta tokens, claves SSH y contraseñas cifradas”.
Ofuscar para escapar
La ofuscación del código malicioso para eludir las medidas de seguridad anti-inyección tiene una larga historia. En 2013, por ejemplo, los atacantes comenzaron a explotar una vulnerabilidad en el marco Ruby on Rails que permitió que se usara el código JSON para omitir la autenticación e inyectar comandos SQL en una aplicación web.
Las empresas deben actualizar sus soluciones de WAF para aprovechar las ventajas de las últimas correcciones, dice Moshe. El investigador de seguridad también enfatizó que las empresas deberían tener seguridad adicional para detectar futuras técnicas de derivación.
“Es importante no utilizar una solución WAF como su única línea de defensa”, dice. “En cambio, se recomienda proteger sus aplicaciones utilizando muchos mecanismos de seguridad, como limitar el acceso a su aplicación [y] habilitar funciones de seguridad”.
Los investigadores notificaron a los cinco proveedores de los WAF vulnerables, cada uno de los cuales confirmó el problema y desde entonces han agregado soporte de sintaxis JSON a sus productos, afirmó Claroty en su aviso.
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- Platoblockchain. Inteligencia del Metaverso Web3. Conocimiento amplificado. Accede Aquí.
- Fuente: https://www.darkreading.com/application-security/popular-wafs-json-bypass
