0
0
BLACK HAT ASIA 2022 — Uma equipe de pesquisadores universitários usou aprendizado de máquina básico para identificar padrões que firewalls comuns de aplicativos web (WAFs) não detectam como maliciosos, mas que ainda podem fornecer a carga de um invasor, disse um dos pesquisadores em uma apresentação na conferência de segurança da Black Hat Asia em Cingapura na quinta-feira.
Os pesquisadores da Universidade Zhejiang, na China, começaram com formas comuns de transformar ataques de injeção em bancos de dados de aplicativos da Web usando a linguagem de consulta estruturada comum (SQL). Em vez de usar uma busca de força bruta de possíveis desvios, a equipe criou uma ferramenta, AutoSpear, que usa um pool de desvios potenciais que podem ser combinados usando uma estratégia de mutação ponderada e, em seguida, testados para determinar a eficácia dos desvios em evitar a segurança das ofertas WAF-as-a-service.
A ferramenta contornou com sucesso — medida por uma taxa negativa falsa — todos os sete WAFs baseados em nuvem testados com uma variedade de sucesso, de uma baixa de 3% para o ModSecurity para uma alta de 63% para os WAFs da Amazon Web Services e da Cloudflare, disse Zhenqing Qu, estudante de pós-graduação da Universidade de Zhejiang e membro da equipe autospear.
“Os estudos de caso mostraram o potencial [da ferramenta], porque as assinaturas de detecção não eram robustas devido a várias vulnerabilidades”, disse ele. “Apenas adicionar comentários ou whitespace pode contornar alguns WAFs, mas a mutação mais eficaz depende de WAFs específicos.”
Firewalls de aplicativos web são uma maneira comum de defender importantes softwares em nuvem e serviços web contra ataques, filtrando ataques comuns de aplicativos e tentativas de injetar comandos de banco de dados, também conhecidos como injeção SQL (SQLi). Um estudo de 2020, por exemplo, descobriu que 4 em cada 10 profissionais de segurança acreditavam que 50% dos ataques em camadas de aplicativos que tinham como alvo sua aplicação em nuvem contornavam seu WAF. Outros ataques se concentram em comprometer o WAF através de sua inspeção de tráfego.
Em sua apresentação, a equipe da Universidade de Zhejiang se concentrou em formas de transformar solicitações usando 10 técnicas diferentes para os quatro métodos de solicitação comum: solicitações POST e GET, usando codificação JSON ou não. Os pesquisadores descobriram que os quatro tipos diferentes de solicitações foram tratados da mesma forma por quatro fornecedores diferentes de WAF, enquanto outros abordaram os insumos de forma diferente.
Ao mutar sistematicamente os pedidos com diferentes combinações das 10 técnicas — como comentários inline, substituir o espaço branco e substituir as tautologias comuns (ou seja, “1=1”) por outras (como, “2<3”) — os pesquisadores encontraram um conjunto de transformações que tiveram melhor desempenho em relação a cada um dos sete WAFs diferentes.
“[C]ombining múltiplos métodos de mutação, o AutoSpear é muito mais eficaz em ignorar as principais soluções WAF-as-a-service devido às suas assinaturas de detecção vulneráveis para correspondência semântica e correspondência de expressão regular”, afirmaram os pesquisadores em seus slides de apresentação.
Os ataques de injeção de SQL continuam a ser um grande risco para muitas empresas. O OWASP Top-10 Web Security Risks classificou a classe injection de vulnerabilidades no topo de sua lista de riscos em 2013 e 2017, e como o risco nº 3 em 2021. A lista, lançada aproximadamente a cada quatro anos, usa mais de 400 classes amplas de fraquezas para determinar as ameaças mais significativas para aplicativos web.
A equipe de pesquisa começou com a criação de aplicativos da Web que tinham vulnerabilidades específicas e, em seguida, usou sua abordagem para transformar as explorações conhecidas em um pedido único que o WAF não pegaria.
Ignorar firewalls de aplicativos da Web normalmente se concentram em três abordagens amplas. No nível arquitetônico, os atacantes podem encontrar maneiras de contornar o WAF e acessar diretamente o servidor de origem. No nível do protocolo, uma variedade de técnicas pode usar erros ou incompatibilidades em suposições de codificação, como o contrabando de solicitações HTTP, para contornar WAFs. Finalmente, no nível de carga útil, os atacantes podem usar uma variedade de transformação de codificação para enganar o WAF a não detectar um ataque, enquanto ainda produzem uma solicitação válida do ponto de vista do servidor de banco de dados.
As transformações permitiram que os ataques fossem bem sucedidos em qualquer lugar de 9% do tempo a quase 100% do tempo, dependendo do WAF e do formato de solicitação, afirmou a equipe em sua apresentação. Em um caso, o pesquisador descobriu que apenas adicionar um personagem newline, “/n”, contornou um grande WAF-as-a-service.
AWS, Cloudflare Afetada
A equipe de pesquisa relatou as vulnerabilidades a todos os sete provedores de WAF: AWS, Cloudflare, CSC, F5, Fortinet, ModSecurity e Wallarm. Cloudflare, F5 e Wallarm resolveram seus problemas, disse Zhenqing. A equipe também forneceu aos fornecedores padrões de bypass que podem ser usados para detectar os tipos mais comuns de transformações.
“Os outros quatro ainda estão trabalhando conosco, já que as falhas não podem ser facilmente corrigidas”, disse ele.
FONTE: DARK READING