Ngày 10 tháng 12 năm 2022Ravie LakshmananTường lửa ứng dụng web / Bảo mật web
Một phương pháp tấn công mới có thể được sử dụng để phá vỡ tường lửa ứng dụng web (WAF) của nhiều nhà cung cấp khác nhau và xâm nhập vào hệ thống, có khả năng cho phép kẻ tấn công giành quyền truy cập vào thông tin khách hàng và doanh nghiệp nhạy cảm.
Tường lửa ứng dụng web là tuyến phòng thủ quan trọng giúp lọc, giám sát và chặn lưu lượng HTTP(S) đến và đi từ ứng dụng web, đồng thời bảo vệ chống lại các cuộc tấn công như giả mạo chéo trang, kịch bản chéo trang (XSS), tệp bao gồm và SQL injection.
Noam Moshe, nhà nghiên cứu của Claroty cho biết, đường vòng chung “liên quan đến việc nối thêm cú pháp JSON vào các tải trọng SQL injection mà WAF không thể phân tích cú pháp”. “Hầu hết các WAF sẽ dễ dàng phát hiện các cuộc tấn công SQLi, nhưng việc thêm cú pháp JSON vào SQL đã khiến WAF mù trước các cuộc tấn công này.”
Công ty an ninh mạng công nghiệp và IoT cho biết kỹ thuật của họ đã hoạt động thành công với WAF từ các nhà cung cấp như Amazon Web Services (AWS), Cloudflare, F5, Imperva và Palo Alto Networks, tất cả đều đã phát hành bản cập nhật để hỗ trợ cú pháp JSON trong quá trình kiểm tra SQL injection.
Với WAF hoạt động như một hàng rào bảo vệ chống lại lưu lượng HTTP(S) độc hại bên ngoài, kẻ tấn công có khả năng vượt qua rào cản có thể có được quyền truy cập ban đầu vào môi trường đích để khai thác sau này.
Cơ chế bỏ qua được các ngân hàng Claroty nghĩ ra do thiếu hỗ trợ JSON cho các WAF để tạo các tải trọng tiêm nhiễm SQL giả mạo bao gồm cú pháp JSON để vượt qua các biện pháp bảo vệ.
Moshe giải thích: “Những kẻ tấn công sử dụng kỹ thuật mới này có thể truy cập cơ sở dữ liệu phụ trợ và sử dụng các lỗ hổng cũng như khai thác bổ sung để lấy cắp thông tin thông qua truy cập trực tiếp vào máy chủ hoặc qua đám mây”. “Đây là một đường vòng nguy hiểm, đặc biệt là khi nhiều tổ chức tiếp tục chuyển nhiều hoạt động kinh doanh và chức năng hơn sang đám mây.”
