Nova técnica contorna WAF de vários fornecedores

Nova técnica contorna WAF de vários fornecedores. Especialistas desenvolveram método genérico para contornar a proteção do WAF.

Especialistas da Claroty, empresa de segurança cibernética industrial e IoT, desenvolveram um método genérico para contornar os firewalls de aplicativos da Web (WAF) de vários fabricantes líderes.

Após um estudo da plataforma de gerenciamento de dispositivos sem fio da Cambium Networks, os pesquisadores da Claroty identificaram a técnica. Eles encontraram uma falha de injeção de SQL que pode permitir acesso não autorizado a dados privados, como cookies de sessão, tokens, chaves SSH e hashes de senha.

Os relatórios afirmam que a vulnerabilidade pode ser explorada na versão local, mas o Amazon Web Services (AWS) WAF proibiu todas as tentativas de fazê-lo na versão em nuvem, sinalizando a carga de injeção SQL como maliciosa.

Este é um desvio perigoso, especialmente à medida que mais organizações continuam a migrar mais negócios e funcionalidades para a nuvem”, escreveu Noam Moshe, pesquisador de vulnerabilidades da Claroty, em uma postagem no blog da empresa.

Os processos de IoT e OT que são monitorados e gerenciados a partir da nuvem também podem ser afetados por esse problema, e as organizações devem garantir que estejam executando versões atualizadas de ferramentas de segurança para bloquear essas tentativas de desvio.”

A descoberta posterior revelou que o WAF poderia ser contornado pelo abuso do formato de compartilhamento de dados JSON. Todos os mecanismos SQL significativos suportam a sintaxe JSON e são ativados por padrão.

Usando a sintaxe JSON, é possível criar novos payloads SQLi. Essas cargas úteis, uma vez que não são comumente conhecidas, podem ser usadas para voar sob o radar e contornar muitas ferramentas de segurança”. Relatórios claros .

CVE-2022-1361 Neutralização imprópria de elementos especiais usados ​​em um comando SQL (‘SQL INJECTION’)

Além disso, uma vulnerabilidade específica do Cambium que os pesquisadores descobriram provou ser mais difícil de explorar ( CVE-2022-1361 ). Moshe diz que “no centro da vulnerabilidade está uma simples vulnerabilidade de injeção de SQL; no entanto, o processo de exploração real exigia que pensássemos fora da caixa e criássemos uma técnica SQL totalmente nova”. 

Portanto, eles conseguiram exfiltrar sessões de usuários, chaves SSH , hashes de senha, tokens e códigos de verificação usando essa vulnerabilidade. 

O principal problema da vulnerabilidade era que os desenvolvedores nessa instância não utilizavam uma instrução preparada para anexar dados fornecidos pelo usuário a uma consulta.

Em vez de usar um método seguro de anexar parâmetros do usuário em uma consulta SQL e limpar a entrada, eles simplesmente anexaram diretamente à consulta”, acrescentou.

Nova carga útil de injeção de SQL que ignoraria o WAF 

O WAF não reconheceu a nova carga útil de injeção SQL que os pesquisadores da Claroty criaram, mas ainda era válida para o mecanismo de banco de dados analisar. 

Eles fizeram isso usando a sintaxe JSON. Eles fizeram isso utilizando o operador JSON “@<”, que colocou o WAF em um loop e permitiu que a carga alcançasse o banco de dados pretendido.

Os relatórios dizem que os pesquisadores reproduziram com sucesso o desvio contra os produtos Imperva, Palo Alto Networks, Cloudflare e F5.

A Claroty adicionou suporte para a técnica à ferramenta de exploração de código aberto SQLMap. 

Descobrimos que os WAFs dos principais fornecedores não suportavam a sintaxe JSON em seu processo de inspeção de injeção SQL, permitindo-nos acrescentar a sintaxe JSON a uma instrução SQL que cegava um WAF para o código malicioso”, explicou a empresa de segurança.

Portanto, Claroty diz que, ao adotar esse método inovador, os invasores podem obter acesso a um banco de dados de back-end e utilizar falhas e explorações adicionais para vazar dados diretamente para o servidor ou por meio da nuvem.

Fonte: GBHackers 

Veja também:

Sobre mindsecblog 1947 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

Seja o primeiro a comentar

Deixe sua opinião!