חוקרים ישראליים פרצו הגנות WAF של ספקיות אבטחה מובילות

חוקרים ישראליים חשפו טכניקת תקיפה חדשה שעוקפת את פתרונות ה-WAF (ר"ת Web application firewalls) המובילים בתעשייה. פתרונות WAF מגנים על יישומים וממשקי API מבוססי ווב מפני תעבורה חיצונית זדונית שמגיעה מהאינטרנט, בעיקר מתקפות והזרקת SQL.

את המעקף גילה צוות המחקר Team82 בחברת האבטחה למערכות סייבר פיזיות קלארוטי. טכניקת התקיפה שנחשפה פועלת כמעקף גנרי לפתרונות WAF הנמכרים על ידי ספקיות אבטחת המידע המובילות בתעשייה, בהן קלאודפלייר, AWS, פאלו אלטו, F5 ואימפרבה.

"תוקף שמסוגל לעקוף את יכולות סריקת התנועה והחסימה של פתרונות ה-WAF זוכה לקו ישיר לאפליקציה ובהינתן חולשה נוספת, הוא יכול לגשת למידע רגיש של לקוחות", אמר נועם משה, חוקר חולשות בקלארוטי. "הדבר קריטי במיוחד בפלטפורמות טכנולוגיה תפעולית ואינטרנט של הדברים (OT ו-IoT, בהתאמה – י"ה) בתשתיות קריטיות דוגמת תחנות כוח, מפעלי מים, בתי חולים ותעשיות אחרות שעברו למערכות ניהול וניטור מבוססות ענן. מעקפים כאלה לרוב מכוונים כלפי ספק מסוים, על מנת לקבל גישה נרחבת למערכות הללו".

טכניקת התקיפה המדוברת מסתמכת תחילה על הבנת האופן שבו רכיבי WAF מזהים ומסמנים SQL syntax כזדוני, ולאחר מכן על מציאת SQL syntax ש-WAF לא מסוגל לזהות, כי שולב בו JSON. זהו פורמט סטנדרטי של חילופי קבצים ומידע, שנמצא בשימוש, בדרך כלל, כאשר נתונים נשלחים מהדפדפן לאפליקציית ווב. ספקים רבים איחרו להוסיף תמיכה ב-JSON – דבר שאפשר לעקוף את האבטחה שפתרונות ה-WAF מספקים.

ספקיות האבטחה עודכנו לגבי טכניקת המתקפה החדשה ובהתאמה, עדכנו את הפתרונות שלהן כך שיתמכו ב-JSON syntax בתהליך הבקרה של הזרקת SQL.