Se puede utilizar un nuevo método de ataque para eludir los firewalls de aplicaciones web (WAF) de varios proveedores e infiltrarse en los sistemas, lo que podría permitir a los atacantes obtener acceso a información comercial y de clientes confidencial.
Los cortafuegos de aplicaciones web son un línea de defensa clave para ayudar a filtrar, monitorear y bloquear el tráfico HTTP(S) hacia y desde una aplicación web, y protegerse contra ataques como falsificación entre sitios, secuencias de comandos entre sitios (XSS), inclusión de archivos e inyección SQL.
El bypass genérico «implica añadir sintaxis JSON a cargas útiles de inyección SQL que un WAF no puede analizar», dijo Noam Moshe, investigador de Claroty dijo. «La mayoría de los WAF detectarán fácilmente los ataques SQLi, pero anteponer JSON a la sintaxis SQL dejó al WAF ciego ante estos ataques».
La empresa de ciberseguridad industrial y de IoT dijo que su técnica funcionó con éxito contra los WAF de proveedores como Amazon Web Services (AWS), Cloudflare, F5, Imperva y Palo Alto Networks, quienes desde entonces han lanzado actualizaciones para admitir la sintaxis JSON durante la inspección de inyección SQL.
Con los WAF actuando como una barrera de seguridad contra el tráfico HTTP(S) externo malicioso, un atacante con capacidades para traspasar la barrera puede obtener acceso inicial a un entorno de destino para una mayor explotación posterior.
El mecanismo de derivación ideado por Claroty se basa en la falta de compatibilidad con JSON para WAF para crear cargas útiles de inyección de SQL no autorizadas que incluyen sintaxis JSON para eludir las protecciones.
«Los atacantes que utilizan esta técnica novedosa podrían acceder a una base de datos interna y utilizar vulnerabilidades y exploits adicionales para filtrar información a través del acceso directo al servidor o a través de la nube», explicó Moshe. «Este es un desvío peligroso, especialmente a medida que más organizaciones continúan migrando más negocios y funcionalidades a la nube».