นักวิจัยค้นพบเทคนิคการโจมตีแบบหลีกเลี่ยงการตรวจจับ (Bypass) ด้วยช่องโหว่บน Web Application Firewalls (WAF) ส่งกระทบกับหลายผลิตภัณฑ์

นักวิจัยจาก Claroty บริษัทด้านความปลอดภัยทางไซเบอร์ในอุตสาหกรรม และ IoT ได้คิดค้นเทคนิคการโจมตีแบบหลีกเลี่ยงการตรวจจับ (Bypass) จาก Web Application Firewalls (WAF) ของแบรนด์ชั้นนำในอุตสาหกรรมหลายราย

Web Application Firewalls (WAF) คือ Firewall ที่คอยตรวจสอบ คัดกรอง และบล็อกทราฟฟิก HTTP(S) ที่ เข้า/ออก จากเว็บแอปพลิเคชัน รวมถึงป้องกันการโจมตี เช่น Cross-Site Forgery, Cross-Site-Scripting (XSS), File Inclusion และ SQL injection เป็นต้น

การค้นพบช่องโหว่

เทคนิคดังกล่าว ถูกค้นพบขณะดำเนินการวิจัยเรื่องรูปแบบการจัดการอุปกรณ์ไร้สายของ Cambium Networks โดยนักวิจัยได้ค้นพบช่องโหว่ Cambium SQL ที่สามารถเข้าถึงข้อมูลส่วนตัวได้ เช่น Sessions ของผู้ใช้, SSH keys, Password Hashes, Tokens และ Verification Codes ซึ่งสามารถโจมตีผ่านช่องโหว่ SQL injection ไปยัง On-Premises ได้ แต่ขณะเดียวกัน การโจมตีผ่านช่องโหว่ดังกล่าวไปยัง Cloud ถูก Block โดย Amazon Web Services (AWS) WAF นักวิจัยได้คิดค้นวิธีโจมตีแบบหลีกเลี่ยงการตรวจจับ (Bypass) จากช่องโหว่ AWS WAF

วิธีการโจมตี

โดยค้นพบว่า การรวมเอา JSON syntax เข้ากับรูปแบบการโจมตีแบบ SQL injection Payloads จะสามารถหลีกเลี่ยงการตรวจจับ (Bypass) ไปได้ เนื่องจาก WAF ไม่สามารถที่จะแยกแยะและวิเคราะห์รูปแบบการโจมตีได้

  • PostgreSQL: ‘{“b”:2}’::jsonb <@ ‘{“a”:1, “b”:2}’::jsonb Is the left JSON contained in the right one? True.
  • SQLite: ‘{“a”:2,”c”:[4,5, {“f”:7}
    ]}’ -> ‘$.c[2].f’ = 7 Does the extracted value of this JSON equals 7? True.
  • MySQL: JSON_EXTRACT(‘{“id”: 14, “name”: “Aztalan”}’, ‘$.name’) = ‘Aztalan’ Does the extracted value of this JSON equals to ‘Aztalan’? True.”

ภาพอธิบาย นักวิจัยของ Claroty ได้ใช้ JSON operator '@<' เพื่อ Bypass WAF และเริ่มโหลด SQLi Payloads ที่เป็นอันตราย

ผลกระทบ

นักวิจัยยืนยันว่าเทคนิคการโจมตีแบบหลีกเลี่ยงการตรวจจับ (Bypass) จากช่องโหว่บน Web Application Firewalls (WAF) มีผลกระทบกับผู้ให้บริการรายอื่นเช่นกัน เนื่องจาก WAF แบรนด์ต่างๆ ยังไม่รองรับ JSON syntax ในการตรวจสอบ SQL injection จึงทำให้สามารถนำ JSON syntax มารวมเข้ากับคำสั่ง SQL ที่เป็นอันตราย เพื่อหลีกเลี่ยงการตรวจจับจาก WAF ได้สำเร็จ

แบรนด์ที่ได้รับผลกระทบ

  • AWS
  • Cloudflare
  • F5
  • Imperva
  • Palo Alto Networks

 

ที่มา : securityaffairs