Специалисты описали способ обхода WAF от AWS, Cloudflare, F5, Imperva

Исследователи указали на новый вектор атаки, который можно использовать для обхода средств фильтрации трафика прикладного уровня (Web Application Firewall, WAF) и проникновения в системы. Воспользовавшись этим вектором, злоумышленники могут в теории добраться до корпоративных данных.

WAF, как известно, являются одним из ключевых элементов защиты, помогающим фильтровать, мониторить и блокировать HTTP(S)-трафик (как входящий в веб-приложение, так и исходящий). Такие файрволы помогают защищаться от атак вида CSRF (межсайтовая подделка запроса) и XSS (межсайтовый скриптинг), а также от SQL-инъекций и т. п.

После ухода зарубежных вендоров мы подготовили материал «Какой отечественный WAF выбрать в рамках импортозамещения». Также на одном из эфиров AM Live мы обсуждали проблему защиты веб-приложений в условиях санкционного давления.

Обход файрволов уровня веб-приложений осуществляется за счёт прикрепления синтаксиса JSON к пейлоадам при SQL-инъекции.

«В этом случае WAF не сможет пропарсить такие пейлоады. Большинство WAF-систем легко детектируют атаки SQLi, однако подсовывание JSON может “ослепить“ файрволы», — объясняет Ноам Мош, исследователь из Claroty.

По словам специалистов, этот способ сработал против WAF от Amazon Web Services (AWS), Cloudflare, F5, Imperva и Palo Alto Networks. На данный момент вендоры устранили эту лазейку со свежими обновлениями.

В Claroty предупредили, что киберпреступники, обойдя WAF, смогут пробраться в корпоративную среду и развить атаку уже оттуда.