CDN/WAF 統合を悪用する手法:グローバルな Web アプリも DDoS で簡単にダウン

Exploiting CDN Integrations: A WAF Bypass Threatening Global Web Applications

2024/12/10 SecurityOnline — 最近に公開された Zafran 研究チームによる分析で明らかになったのは、Akamai/Cloudflare/Fastly/Imperva などの、大手 WAF ベンダーに影響を及ぼす、広範囲にわたるミスコンフィグの問題である。これらのベンダーは、世界の Web アプリケーションの 90% を総合的に保護しているため、この調査結果は警戒すべきものであり、影響力の大きいものとなる。

このミスコンフィグは、WAF ベンダーが CDN サービスと統合する際の、基本的なアーキテクチャ上の弱点から生じている。この欠陥の突く脅威アクターは WAF 保護を回避し、分散型サービス拒否 (DDoS) 攻撃や Web アプリの脆弱性の悪用を隠して、バックエンド・サーバをダイレクトな標的にしていく。

Zafran のレポートには、「このミスコンフィグは、CDN としても機能する WAF プロバイダーのアーキテクチャ上の弱点から生じている。このような CDN/WAF サービスのアーキテクチャで保護される Web アプリケーションは、CDN/WAF プロバイダーがルーティングするインターネット・トラフィックを検証するように指示される。それを怠ると、バイパス経路の発見につながる可能性がある」と記されている。

Fortune 1000 企業に関連する 700,000 のドメインを対象に、Zafran のチームが広範な調査を実施した。この調査の結果として、以下のことが明らかになった。

  • このミスコンフィグにより、36,000 のバックエンド・サーバがインターネットから直接アクセス可能になった。
  • これらのサーバは 8,000 のドメインにまたがるものであり、Fortune 100 企業の約 40%、Fortune 1000 企業の 20% に影響を与えた。
  • 最も影響を受けた業界には金融サービスがあり、影響を受けた企業の 3 分の 1 以上を占めている。

特に印象的なのは、Akamai サービスを利用している企業の脆弱度が、他と比べて高いと思われる点だ。Akamai がカバーするのは、Fortune 1000 ドメインの 42% だが、、影響を受けた企業の 59% を占めている。

このバイパスのエクスプロイトは、ミスコンフィグされたオリジン・サーバ設定を悪用するものだ。一般的な CDN 設定では、DNS レコードに依存に依存することで、トラフィックを CDN プロキシ・サーバにルーティングする。ただし、攻撃者がバックエンド・オリジン・サーバの IP アドレスを特定した場合には、CDN を完全に回避できる。この問題が悪化するのは、相互 TLS (mTLS) や IP フィルタリングなどの、セキュリティのベスト・プラクティス実装が不十分なときである。

Zafran のレポートでは、「これらのオリジン・サーバのうち、Authenticated Origin Pulls を実装しているのは、わずか 13% 程度である。つまり、堅牢なセキュリティ・コンフィグが、広範囲で無視されている」と強調されている。

Zafran のチームは、この調査結果を検証するために、公開されているオリジン・サーバに対する DDoS 攻撃をシミュレートした。この DDoS 分析では、リクエストが CDN 経由でルーティングされた場合でも、測定可能なサービス中断が発生し、バイパスの有効性が実証されたという。

このレポートは、「CDN がバイパスされるケースにおいて、組織化された攻撃者は、数万台のマシンの帯域幅/地理的位置/CPU を収集するボットネットを作成し、潤沢なリソースを持つ Web アプリケーション設定に対しても、シンプルだが極めて強力な DDoS 攻撃を実行できる」と警告している。

これらの脆弱性に対処するために、Zafran が推奨するのは、以下のベスト・プラクティスである。

  • IP フィルタリング:既知の CDN IP レンジに基づき、オリジン・サーバへの着信トラフィックを制限する。
  • カスタム HTTP ヘッダー:事前共有されたシークレットを使用して、CDN とオリジン・サーバ間のリクエストを検証する。
  • 相互 TLS 認証:CDN プロバイダーにより発行されたクライアント証明書を、オリジン・サーバが検証するようにする。

これらの対策は、すでに文書化されているものだが、実装には一貫性がない。Zafran は、「企業が誤ったセキュリティ意識を持って行動するため、セキュリティ・ツールのミスコンフィグにより、極めて深刻な影響が生じる可能性がある」と強調している。

WAF と CDN の統合におけるミスコンフィグにより、DNS に関連する障害が発生し、DDoS に対して極めて脆弱になるという問題が発生したようです。コンフィイグ関連の問題は、その特定が厄介ですが、上記のベスト・プラクティスの適用を、ご検討ください。よろしければ、カテゴリ MisConfiguration も、ご利用ください。