BLACK HAT ASIA 2022 — Üniversite araştırmacılarından oluşan bir ekip, ortak Web uygulaması güvenlik duvarlarının (WAF’ler) kötü amaçlı olarak algılayamadığı, ancak yine de bir saldırganın yükünü sağlayabilen kalıpları belirlemek için temel makine öğrenimini kullandı. Perşembe günü Singapur’da Black Hat Asia güvenlik konferansı.
Çin’deki Zhejiang Üniversitesi’nden araştırmacılar, ortak Yapılandırılmış Sorgu Dili’ni (SQL) kullanarak enjeksiyon saldırılarını hedef Web uygulaması veritabanlarına dönüştürmenin yaygın yollarıyla başladı. Ekip, potansiyel geçişleri kaba kuvvet araması kullanmak yerine, ağırlıklı bir mutasyon stratejisi kullanılarak birleştirilebilen ve ardından geçişlerin güvenlikten kaçmadaki etkinliğini belirlemek için test edilen bir potansiyel geçiş havuzu kullanan AutoSpear adlı bir araç yarattı. hizmet olarak WAF teklifleri.
Araç, test edilen bulut tabanlı WAF’lerin yedisini de başarıyla atladı (yanlış bir negatif oranla ölçüldüğü gibi), ModSecurity için düşük %3’ten Amazon Web Services ve Cloudflare’nin WAF’leri için %63 gibi yüksek bir başarı elde etti. , dedi Zhejiang Üniversitesi yüksek lisans öğrencisi ve AutoSpear ekibinin üyesi Zhenqing Qu.
“Vaka çalışmaları potansiyeli gösterdi [of the tool]çünkü çeşitli güvenlik açıkları nedeniyle algılama imzaları sağlam değildi” dedi. “Yalnızca yorum veya boşluk eklemek bazı WAF’leri atlayabilir, ancak en etkili mutasyon belirli WAF’lere bağlıdır.”
Web uygulaması güvenlik duvarları, önemli bulut yazılımlarını ve Web hizmetlerini saldırılara karşı korumanın yaygın bir yoludur, yaygın uygulama saldırılarını ve SQL enjeksiyonu (SQLi) olarak da bilinen veritabanı komutlarını enjekte etme girişimlerini filtreler. Örneğin bir 2020 araştırması, 10 güvenlik uzmanından 4’ünün, bulut uygulamalarını hedefleyen uygulama katmanı saldırılarının %50’sinin WAF’larını atladığına inandığını buldu. Diğer saldırılar, trafik denetimi yoluyla WAF’tan ödün vermeye odaklanır.
İçinde onların sunumu, Zhejiang Üniversitesi’nden ekip, dört yaygın istek yöntemi için 10 farklı teknik kullanarak istekleri dönüştürme yollarına odaklandı: JSON kodlamasını kullanarak veya kullanmayarak POST ve GET istekleri. Araştırmacılar, dört farklı türdeki talebin dört farklı WAF satıcısı tarafından aynı şekilde ele alındığını, diğerlerinin ise girdilere farklı şekilde yaklaştığını buldu.
İstekleri 10 tekniğin farklı kombinasyonlarıyla sistematik olarak değiştirerek – örneğin satır içi yorumlar, boşluk yerine ve ortak totolojileri (yani, “1=1”) diğerlerinin yerine (“2<3" gibi) — araştırmacılar, yedi farklı WAF'ın her birine karşı en iyi performansı gösteren bir dizi dönüşüm buldular.
“[C]Çoklu mutasyon yöntemlerini bir araya getiren AutoSpear, anlamsal eşleştirme ve düzenli ifade eşleştirme için savunmasız algılama imzaları nedeniyle ana akım WAF hizmet olarak çözümlerini atlamada çok daha etkilidir.” Araştırmacılar sunum slaytlarında belirttiler.
SQL enjeksiyon saldırıları birçok şirket için büyük bir risk olmaya devam ediyor. OWASP En İyi 10 Web Güvenliği Riski, Injection güvenlik açıkları sınıfını 2013 ve 2017’deki risk listesinin başında ve 2021’de 3. risk olarak derecelendirdi. Yaklaşık dört yılda bir yayınlanan liste, 400’den fazla risk kullanıyor. Web uygulamaları için en önemli tehditleri belirlemek için geniş zayıflık sınıfları.
Araştırma ekibi, belirli güvenlik açıkları olan Web uygulamaları oluşturmaya başladı ve daha sonra, bilinen açıkları WAF’ın yakalayamayacağı benzersiz bir isteğe dönüştürmek için yaklaşımını kullandı.
Web uygulaması güvenlik duvarlarını atlamak, genellikle üç geniş yaklaşıma odaklanır. Mimari düzeyde, saldırganlar WAF’ı atlatmanın ve kaynak sunucuya doğrudan erişmenin yollarını bulabilir. Protokol düzeyinde, çeşitli teknikler, WAF’leri atlamak için HTTP istek kaçakçılığı gibi kodlama varsayımlarında hatalar veya uyumsuzluklar kullanabilir. Son olarak, yük düzeyinde, saldırganlar WAF’ı bir saldırıyı tespit edememesi için kandırmak için çeşitli kodlama dönüştürmeleri kullanabilir ve yine de veritabanı sunucusu açısından geçerli bir istek üretir.
Ekip, sunumlarında belirttiğine göre, dönüşümler, WAF’a ve istek formatına bağlı olarak, saldırıların zamanın %9’undan yaklaşık %100’üne kadar herhangi bir yerde başarılı olmasına izin verdi. Bir durumda, araştırmacı yalnızca yeni satır karakteri “/n” eklemenin büyük bir hizmet olarak WAF’ı atladığını buldu.
AWS, Cloudflare Etkilendi
Araştırma ekibi, güvenlik açıklarını yedi WAF sağlayıcısının tümüne bildirdi: AWS, Cloudflare, CSC, F5, Fortinet, ModSecurity ve Wallarm. Zhenqing, Cloudflare, F5 ve Wallarm’ın sorunlarını çözdüğünü söyledi. Ekip ayrıca satıcılara, en yaygın dönüşüm türlerini tespit etmek için kullanılabilecek baypas kalıpları sağladı.
“Diğer dördü hala bizimle çalışıyor, çünkü kusurlar kolayca düzeltilemez” dedi.