Researchers Detail New Attack Method to Bypass Popular Web Application Firewalls
2022/12/10 TheHackerNews — さまざまなベンダーの Web Application Firewalls (WAF) を回避したシステムへの侵入により、企業や顧客の機密情報へのアクセスを、脅威アクターに許す可能性のある、新たな攻撃方法が発見された。WAF は重要な防衛線であり、Web アプリケーションとの間で HTTP (S) トラフィックをフィルタリング/監視/ブロックし、CSRF/XSS/SQL インジェクション/ファイル・インクルードなどの攻撃からシステムを保護するものだ。
Claroty の研究者である Noam Moshe は、「WAF が解析できない一般的なバイパスが、SQL インジェクションのペイロードに、JSON 構文を追加することで達成されてしまう。多くの WAF は、SQLi 攻撃を簡単に検出できるが、SQL 構文に JSON を付与することで攻撃を検出できなくなる」と述べている。
Claroty は、その手法が AWS/Cloudflare/F5/Imperva/Palo Alto Networks などの WAF に対して、正常に機能したと述べている。これらのベンダーは全て、SQL インジェクション検査における、JSON シンタックスをサポートするための更新をリリースしている。
WAF は、悪意の外部 HTTP (S)トラフィックに対するセキュリティ・ガードとして機能する。そのため、このバリアを突破する能力を持つ攻撃者は、ターゲット環境へのイニシャル・アクセスを取得し、さらに継続的な搾取を行うことが可能になる。そして、Claroty が考案したバイパス・メカニズムは、WAF が JSON をサポートしていないことを悪用して、JSON 構文を含む不正な SQL インジェクション・ペイロードにより、その保護を回避するものだ。
Moshe は、「この新しい技術を使用する攻撃者は、バックエンドのデータベースにアクセスし、他の脆弱性を悪用するなどして、サーバへのダイレクト・アクセスまたはクラウドを経由して、情報を流出させる方式を手にする。数多くの組織において、ビジネスと機能がクラウドに移行し続けているため、この種のバイパスは、きわめて危険なものとなる」と述べている。
このようなセキュリティホールが、まだ在るという驚きの展開です。ほんとうに信用してよいのかと思い、Vendor + JSON + Bypass で検索してみたら、Cloudflare/F5/Imperva には、それらしきページが見つかりましたが、AWS/Palo Alto は見つかりませんでした。たしかに WAF は、重要な境界防御ですが、それだけに頼らずにゼロトラストを目指すべきなのでしょう。関連情報として、5月13日の「BLACK HAT ASIA 2022 での発表:SQL クエリーの変換により WAF バイパスが可能になる」も、よろしければ、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.