Akamai’nin Web uygulaması güvenlik duvarı (WAF), dağıtılmış hizmet reddi (DDoS) gibi potansiyel saldırıları savuşturmayı amaçlamaktadır, ancak bir araştırmacı, kurallarını karıştırmak için karmaşık yükler kullanarak korumalarını atlamanın bir yolunu keşfetti.
Peter H. olarak bilinen araştırmacı, Usman Mansha ile birlikte, Akamai’nin o zamandan beri bir CVE numarası atanmayan güvenlik açığını yamaladığını söyledi. Yazıda Peter H., WAF korumalarını atlamak için Spring Boot’un savunmasız bir sürümünü nasıl kullandığını açıkladı.
“Sonunda Akamai WAF’ı atlayabildik ve Spring Boot çalıştıran bir uygulamada Spring Expression Language enjeksiyonunu kullanarak Uzaktan Kod Yürütmeyi (P1) elde edebildik.” Akamai WAF RCE açıklanmış bulun. “Bu, bu programda bulduğumuz SSTI aracılığıyla 2. RCE idi, 1.’den sonra program, uygulamanın farklı bir bölümünde atlayabildiğimiz bir WAF uyguladı.”