Naukowcy z Claroty – firmy zajmującej się bezpieczeństwem przemysłowym i IoT – zidentyfikowali uniwersalną metodę omijania zapór sieciowych aplikacji internetowych (WAF) kilku głównych dostawców.
Badacze Claroty, po analizie platformy zarządzania urządzeniami bezprzewodowymi Cambium Networks, rozgryźli lukę w zabezpieczeniach typu SQL Injection. Może ona zostać wykorzystana do uzyskania poufnych informacji, takich jak sesyjne pliki cookie, tokeny, klucze SSH i skróty haseł.
Wykorzystanie luki zadziałało w przypadku wersji lokalnej, ale próba użycia jej w wersji w chmurze została zablokowana przez WAF Amazon Web Services (AWS), który oznaczył ładunek wstrzyknięcia SQL jako szkodliwy.
Dalsza analiza wykazała, że WAF można ominąć, nadużywając formatu udostępniania danych JSON. Składnia JSON jest obsługiwana przez wszystkie główne silniki SQL i domyślnie pozostaje włączona.
Badacze Claroty wykorzystali składnię JSON do stworzenia nowego ładunku wstrzykiwania SQL. Ominie on WAF – ponieważ WAF go nie rozumie – a jednocześnie będzie ważny do przeanalizowania dla silnika bazy danych. Osiągnęli to za pomocą operatora JSON „@<”, który zapętlił WAF i umożliwił przekazanie ładunku do docelowej bazy danych.
Po zweryfikowaniu metody obejścia w porównaniu z AWS WAF badacze sprawdzili, czy będzie ona działać również w przypadku zapór ogniowych innych dostawców. Z powodzeniem odtworzyli obejście – z niewielkimi lub bez żadnych zmian w ładunku użytecznym – w porównaniu z produktami obejścia Palo Alto Networks, Cloudflare, F5 i Imperva.WAF.
Aby zademonstrować ryzyko związane z tym atakiem w świecie rzeczywistym, firma Claroty dodała obsługę tej techniki do narzędzia eksploatacyjnego open source SQLMap.
Schemat działania
„Odkryliśmy, że WAF-y wiodących dostawców nie obsługują składni JSON w ich procesie kontroli iniekcji SQL, co pozwoliło nam dołączyć składnię JSON do instrukcji SQL, która zaślepiła WAF na złośliwy kod” – wyjaśniła firma zajmująca się bezpieczeństwem.
W odpowiedzi na badania wszyscy dostawcy, których dotyczy problem, dodali obsługę składni JSON do swoich produktów, ale Claroty uważa, że może on mieć wpływ również na inne WAF‑y.
„Napastnicy korzystający z tej nowatorskiej techniki mogą uzyskać dostęp do bazy danych zaplecza i wykorzystać dodatkowe luki w zabezpieczeniach i exploity do eksfiltracji informacji poprzez bezpośredni dostęp do serwera lub przez chmurę” – podała firma. „Jest to szczególnie ważne w przypadku platform OT i IoT, które przeszły na oparte na chmurze systemy zarządzania i monitorowania. WAF‑y obiecują dodatkowe bezpieczeństwo w instalacjach w chmurze; atakujący, który jest w stanie ominąć te zabezpieczenia, ma rozległy dostęp do systemów”.
O Claroty pisaliśmy już w 2021 roku. Wówczas firma ujawniła szczegóły techniczne dotyczące dwóch poważnych luk w zabezpieczeniach inteligentnych liczników PowerLogic firmy Schneider Electric – badacze odkryli wtedy, że niektóre liczniki z serii ION i PM narażone są na luki, które mogą zostać zdalnie wykorzystane przez nieuwierzytelnionego atakującego, wysyłającego specjalnie spreparowane pakiety TCP do docelowego urządzenia.