OWASP ModSecurity Core Rule Set sandbox launched to help security researchers test new CVEs
2021/12/10 DailySwig — OWASP ModSecurity Core Rule Set に対してペイロード・テストを行うセキュリティ研究者たちが、プロジェクト・メンテナがリリースした新しいサンドボックスを使えるようになったという朗報である。この Core Rule Set (CRS) とは、ModSecurity および、互換性のある Web Application Firewalls (WAF) で使用するための、一般的な攻撃検知ルールのセットである。その目的は、OWASP Top Ten を含む広範な攻撃から、Webアプリケーションを保護することにある。
今日、CRS の開発チームは、ModSecurity ボックスをインストールまたは設定する必要なく、研究者による CRS テストを可能にするサンドボックスをリリースした。
このチームはブログで、「このサンドボックスは、新しい CVE に直面している人々が、CRS による時間の短縮の可能性を調べるときのために設計されている。たとえば、GitHub の問題 (偽陰性/偽陽性) を確認するために、様々なバージョンやバックエンドに対して、迅速なペイロード・テストが可能になるため、CRS プロジェクトにとって極めて有益だ」と説明した。
意味不明な ModSecurity のログ
Project Lead である Christian Folini は Daily Swig に対して、正しいバージョンのCRS Docker をセットアップしなくても、CRS を利用できる方法についてセキュリティ研究者と定期的に会話し、そのチームが「意味不明な ModSecurity ログの苦しい解釈」と捉えていることから、サンドボックス API が作成されたと述べている。
Folini は、「PortSwigger の James Kettle と Gareth Hayes との会話を覚えている。彼らは、2019年の AppSec Amsterdam で、CRS のようなオープンソース WAF によりブロックされたペイロードに関する情報を、彼らの出版物の一部として追加することには前向きだが、適切な CRS 設定を持つコンテナを設定する負担を、彼らから取り除ける場合にのみ可能になると話している。本質的に、CRS のサンドボックスが必要だったのだ」と述べている。
このサンドボックスは、今年の10月の時点で正式に運用が開始されている。Folini は、「すべての新しい開発と同様に、一貫して機能する方法を見つけるまで、いくつかのアプローチを試す必要があった。ゲートウェイ・サーバーが接続を傍受し、TCP レベルでレスポンスを注入するという代替アーキテクチャは、巧妙ではありましたが、複雑すぎた。私たちが採用した、リバース・プロキシと openresty の組み合わせは、特定のプロトコルの攻撃に対して理想的とは言えないが、比較的シンプルで非常に安定している」と付け加えている。
今後の計画
無料で使えるサンドボックスは、AWS 上にホストされている。IP アドレスは匿名化されるが、ログは収集される。また、Folini は、優秀なユーザー事例の紹介や、ペイロード情報の他者との共有などの、さらなる機能追加の計画にも触れた。彼は、「過去のペイロードを検索し、分析できるようにする。そうすれば、誰かが友人に ID を伝えて、この複雑な HTTP リクエストについて欲しいと言えるようになる。それを実現する ID をサポートすることで、サンドボックスはエクスプロイトに取り組むチームにとって、強力なツールになる可能性がある。あるいは、ID だけを保存しておくという方法もある」と説明している。
このサンドボックスの仕組みに関する技術的な詳細は、ブログポストに掲載されている。
OWASP は、とてもユニークで有意義な活動を推進していますね。その、ModSecurity Core Rule Set に対するサンドボックスが提供され、この攻撃検知ルールのセットが広く利用されるようになるのでしょう。「OWASP Top 10 脆弱性に対抗するための Top 10 Tips とは?」や、「OWASP Top-10 2021 Draft:Web アプリへの脅威をカテゴライズ」、「OWASP API Top-10: API を脅かす脆弱性を分析して対策を講じる」なども、よろしければ ご参照ください。
IoT OT Security News 