Tường lửa ứng dụng web (WAF) được thiết kế để bảo vệ các ứng dụng và API dựa trên web trước các lưu lượng truy cập HTTP/HTTPS độc hại bên ngoài, đáng chú ý là một số cuộc tấn công phổ biến như CSRF, XSS hay SQL Injection.
Các nhà nghiên cứu của Claroty đã phát hiện ra kỹ thuật bypass (vượt qua) WAF sau khi tiến hành phân tích nền tảng quản lý thiết bị không dây của Cambium Networks. Họ đã phát hiện lỗ hổng SQL Injection có thể được sử dụng để thu thập các thông tin nhạy cảm, chẳng hạn như phiên cookie, token, khóa SSH và hàm băm mật khẩu.
Việc khai thác lỗ hổng hoạt động với phiên bản tại chỗ, nhưng nỗ lực khai thác lỗ hổng này với phiên bản đám mây đã bị WAF của Amazon Web Services (AWS) chặn và gắn cờ payload SQL Injection là độc hại. Phân tích sâu hơn cho thấy rằng WAF có thể bị phá vỡ bằng cách lạm dụng định dạng chia sẻ dữ liệu JSON. Cú pháp JSON được hỗ trợ bởi tất cả các công cụ SQL chính và nó được bật theo mặc định.
Các nhà nghiên cứu của Claroty đã sử dụng cú pháp JSON để tạo một payload SQL Injection mới vượt qua WAF. Họ đã đạt được điều này bằng cách sử dụng toán tử JSON ‘@<’, thao tác này cho phép payload chuyển đến cơ sở dữ liệu được nhắm mục tiêu.
Sau khi xác minh phương pháp vượt qua AWS WAF, các nhà nghiên cứu đã kiểm tra xem nó có hoạt động với một số giải pháp tường lửa nổi tiếng như Palo Alto Networks, Cloudflare, F5 và Imperva hay không. Họ đã mô phỏng lại thành công cách thức đã thực hiện trên AWS WAP, khi không có thay đổi nào đối với các payload tấn công trên các sản phẩm tường lửa này.
Claroty thử nghiệm tấn công sử dụng cú pháp JSON trên một số nhà cung cấp WAF
“Chúng tôi phát hiện ra rằng các WAF của nhiều nhà cung cấp lớn không hỗ trợ cú pháp JSON trong quy trình kiểm tra SQL Injection của họ, cho phép chúng tôi thêm cú pháp JSON vào một câu lệnh SQL, điều này khiến WAF khó có thể phát hiện được các cuộc tấn công”, hãng bảo mật này giải thích.
Theo nghiên cứu, tất cả các nhà cung cấp bị ảnh hưởng đã thêm hỗ trợ cú pháp JSON vào sản phẩm của họ, nhưng Claroty tin rằng các sản phẩm WAF khác cũng có thể bị ảnh hưởng.
Claroty đánh giá: “Tin tặc khi sử dụng kỹ thuật mới này có thể truy cập cơ sở dữ liệu backend và sử dụng các lỗ hổng cũng như khai thác bổ sung để đánh cắp thông tin thông qua truy cập trực tiếp vào máy chủ hoặc qua đám mây. Đây là mối đe dọa nguy hiểm, đặc biệt trong bối cảnh các nền tảng OT và IoT của nhiều tổ chức, doanh nghiệp đã chuyển sang hệ thống quản lý và giám sát dựa trên đám mây”.
Hồng Đạt
(theo securityweek)
13:00 | 29/12/2023
15:00 | 28/11/2022
10:00 | 18/01/2023
07:00 | 15/09/2022
10:00 | 19/09/2022
13:00 | 05/04/2024
Chính phủ Hoa Kỳ đang cảnh báo thống đốc các bang về việc tin tặc nước ngoài đang thực hiện các cuộc tấn công mạng gây rối loạn hệ thống nước và nước thải trên khắp đất nước.
17:00 | 01/04/2024
Sáng ngày 01/4, tại Hà Nội, Thiếu tướng Vũ Ngọc Thiềm, Trưởng ban Ban Cơ yếu Chính phủ đã trao quyết định bổ nhiệm Phó Tổng Biên tập Tạp chí An toàn thông tin cho đồng chí Đỗ Thục Anh.
14:00 | 01/03/2024
Trong thời đại kỹ thuật số, dữ liệu cá nhân và bí mật công ty luôn là mục tiêu tấn công của tội phạm mạng. Tuy nhiên, khi hệ thống phòng thủ ngày càng tinh vi thì chiến thuật của tin tặc cũng vậy. Năm 2023 cho thấy sự giằng co không ngừng nghỉ, ghi nhận một số vụ xâm phạm dữ liệu gây hậu quả nặng nề. Dưới đây là 10 vụ xâm phạm dữ liệu hàng đầu trong năm 2023 ảnh hưởng đến hơn 100 triệu cá nhân theo ghi nhận của tổ chức phi lợi nhuận Trung tâm Tài nguyên trộm cắp danh tính Mỹ (ITRC).
08:00 | 06/02/2024
Cục Điều tra Liên bang Mỹ (FBI) phá vỡ mạng botnet KV do nhóm tin tặc Volt Typhoon của Trung Quốc sử dụng trong các chiến dịch tấn công mạng nhắm vào các tổ chức cơ sở hạ tầng quan trọng của Mỹ.
Hội nghị quốc tế lần thứ 12 Lãnh đạo cấp cao phụ trách an ninh được tổ chức dựa trên sự cần thiết vì nó mở ra cơ hội để trao đổi kinh nghiệm, tìm kiếm những cách tiếp cận mới và các giải pháp tổng hợp chung cho các vấn đề cấp bách về an ninh khu vực và toàn cầu.
09:00 | 28/04/2024
Trong 02 ngày 25-26/4, Đoàn công tác của Ban Cơ yếu Chính phủ do đồng chí Nguyễn Hữu Hùng, Phó Trưởng ban làm Trưởng đoàn đã đến thăm và làm việc với các Tỉnh ủy: Đồng Nai, Bình Dương và Bình Phước về công tác cơ yếu, bảo mật và an toàn thông tin.
19:00 | 30/04/2024
Công ty được mệnh danh là “Google của Trung Quốc” - Baidu cho biết chatbot AI của hãng này, Ernie Bot đã có hơn 200 triệu người dùng trong bối cảnh cạnh tranh ngày càng khốc liệt.
19:00 | 30/04/2024