Sicherheitsforscher von Team82, der Forschungsabteilung des Spezialisten für die Sicherheit von cyber-physischen Systemen (CPS) Claroty, haben die Möglichkeit einer grundlegenden Umgehung von branchenführenden Web Application Firewalls (WAF) identifiziert. Bei der Angriffstechnik wird die JSON-Syntax an SQL-Injection-Payloads angehängt. Obwohl die meisten Datenbank-Engines JSON seit einem Jahrzehnt unterstützen, haben zahlreiche WAF-Anbieter keine JSON-Unterstützung in ihre Produkte integriert. Entsprechend ist die WAF für Angriffe blind, bei denen JSON der SQL-Syntax vorangestellt wird. Die Methode funktionierte bei WAFs von fünf führenden Anbietern: Palo Alto Networks, Amazon Web Services, Cloudflare, F5 und Imperva. Alle fünf haben ihre Produkte inzwischen aktualisiert, um JSON-Syntax in ihrem SQL-Injection-Inspektionsprozess zu unterstützen. Gleichwohl besteht die Gefahr, dass die Technik bei anderen WAFs eine ernste Schwachstelle darstellt, mittels derer Angreifer Zugang zu sensiblen Geschäfts- und Kundendaten erhalten können.
Hintergrund
Web Application Firewalls (WAF) sollen webbasierte Anwendungen und APIs vor bösartigem externen HTTP-Datenverkehr schützen, insbesondere vor Cross-Site-Scripting- und SQL-Injection-Angriffen. Diese sind zwar bekannt und relativ einfach zu beheben, stellen jedoch nach wie vor eine Bedrohung dar und schaffen es so immer wieder in die OWASP Top 10 der bedeutendsten Schwachstellen.
WAFs werden zunehmend auch zum Schutz von Cloud-basierten Management-Plattformen eingesetzt, die angeschlossene Geräte wie Router und Access Points überwachen. Angreifer, die in der Lage sind, die Funktionen zum Scannen und Blockieren des Datenverkehrs von WAFs zu umgehen, haben auf diese Weise oft einen direkten Zugang zu sensiblen Geschäfts- und Kundendaten. WAF-Umgehungen sind allerdings relativ selten und zielen in aller Regel auf die Implementierung eines bestimmten Anbieters ab.
Fehlende JSON-Unterstützung ermöglicht SQL-Injection-Angriffe
Team82 hat eine Angriffstechnik entdeckt, die die erste generische Umgehung mehrerer Web Application Firewalls branchenführender Anbieter (Palo Alto, F5, Amazon Web Services, Cloudflare und Imperva) darstellt. Alle betroffenen Anbieter haben die Offenlegung von Team82 bestätigt und Fehlerbehebungen implementiert, die die SQL-Prüfprozesse ihrer Produkte um Unterstützung für JSON-Syntax erweitern.
Die Sicherheitsforscher untersuchten zunächst, wie WAFs SQL-Syntax als bösartig identifizieren und kennzeichnen, um dann eine SQL-Syntax zu finden, für die die Sicherheitslösungen blind sind. Es stellte sich heraus, dass es sich dabei um JSON handelt. JSON ist ein standardisiertes Datei- und Datenaustauschformat, das häufig verwendet wird, wenn Daten von einem Server an eine Webanwendung gesendet werden. Die Unterstützung von JSON wurde bereits vor fast 10 Jahren in SQL-Datenbanken eingeführt. Moderne Datenbank-Engines unterstützen heute standardmäßig die JSON-Syntax, grundlegende Suchen und Änderungen sowie eine Reihe von JSON-Funktionen und -Operatoren. Während die JSON-Unterstützung bei den Datenbank-Engines die Norm ist, ist dies bei den WAFs nicht der Fall. Auf diese Weise hat Team82 neue SQL-Injection-Payloads entwickelt, die JSON enthalten und so die von WAFs bereitgestellte Sicherheit umgehen konnten.
WAFs sollen zusätzliche Sicherheit aus der Cloud bieten. Sind Angreifer jedoch in der Lage, diese Schutzmechanismen zu umgehen, haben sie weitreichenden Zugang zu den Systemen. Mit der neuartigen Technik können Angreifer auf eine Backend-Datenbank zugreifen und zusätzliche Schwachstellen und Exploits nutzen, um Informationen entweder über direkten Zugriff auf den Server oder über die Cloud zu exfiltrieren. Dies ist besonders wichtig für OT- und IoT-Plattformen, die auf cloudbasierte Verwaltungs- und Überwachungssysteme umgestiegen sind.
Die neue Angriffsmethode funktionierte bei fünf führenden WAF-Anbietern, die entsprechend informiert wurden und in der Folge alle ihre Produkte um die Unterstützung der JSON-Syntax erweitert haben. Gleichwohl können auch die Produkte anderer Anbieter betroffen sein. Deshalb sollte dringend eine Überprüfung der JSON-Unterstützung durchgeführt werden. Dies ist umso wichtiger, da immer mehr Unternehmen ihre Prozesse in die Cloud verlagern. Das gilt auch in besonderem Maße für IoT- und OT-Prozesse, die ebenfalls bedroht sein können. Unternehmen sollten aus diesem Grund sicherstellen, dass sie aktuelle Versionen von Sicherheitstools einsetzen, um diese Umgehungsversuche zu blockieren.
Weitere Informationen, Hintergründe und technische Details finden sich im entsprechenden Blog-Beitrag von Claroty.