Se puede usar un nuevo método de ataque para eludir los firewalls de aplicaciones web (WAF) de varios proveedores e infiltrarse en los sistemas, lo que podría dar a los atacantes acceso a información confidencial de la empresa y de los clientes.
Los cortafuegos de aplicaciones web son un línea de defensa clave para ayudar a filtrar, monitorear y bloquear el tráfico HTTP(S) hacia y desde una aplicación web, y proteger contra ataques como la manipulación entre sitios, secuencias de comandos entre sitios (XSS), inclusión de archivos e inyección SQL.
La solución genérica» consiste en agregar Sintaxis JSON a cargas útiles de inyección SQL que un WAF no puede analizar”, Noam Moshe, investigador de Claroty ha dicho. «La mayoría de los WAF detectarán fácilmente los ataques de SQLi, pero agregar JSON a la sintaxis de SQL dejó al WAF ciego ante estos ataques».
La firma de ciberseguridad industrial y de IoT dijo que su técnica funcionó con éxito contra los WAF de proveedores como Amazon Web Services (AWS), Cloudflare, F5, Imperva y Palo Alto Networks, todos los cuales han lanzado desde entonces actualizaciones para admitir cargas de sintaxis JSON cuando se inspeccionan mediante inyección SQL. .
Con los WAF actuando como guardia de seguridad contra el tráfico HTTP(S) externo malicioso, un atacante capaz de traspasar la barrera puede obtener acceso inicial a un entorno de destino para una posterior explotación posterior.
El mecanismo de elusión diseñado por Claroty aprovecha la falta de compatibilidad con JSON para WAF para crear cargas maliciosas de inyección SQL que incluyen sintaxis JSON para eludir las protecciones.
«Los atacantes que utilizan esta nueva técnica podrían acceder a una base de datos interna y utilizar vulnerabilidades y exploits adicionales para filtrar información a través del acceso directo al servidor o a través de la nube», explicó Moshe. «Esta es una elusión peligrosa, especialmente a medida que más y más organizaciones continúan migrando más negocios y funcionalidades a la nube».
