SQL クエリの変換により WAF セキュリティがバイパスされる

BLACK HAT ASIA 2022 —大学の研究者チームは、基本的な機械学習を使用して、一般的なWebアプリケーションファイアウォール（WAF）が悪意のあるものとして検出できないが、攻撃者のペイロードを配信できるパターンを特定したと、研究者のXNUMX人が木曜日にシンガポールで開催されるBlackHatAsiaセキュリティ会議。

中国の浙江大学の研究者は、一般的な構造化クエリ言語（SQL）を使用して、インジェクション攻撃をターゲットWebアプリケーションデータベースに変換する一般的な方法から始めました。チームは、潜在的なバイパスの強引な検索を使用するのではなく、加重突然変異戦略を使用して組み合わせることができる潜在的なバイパスのプールを使用するツールAutoSpearを作成し、セキュリティを回避する際のバイパスの有効性を判断するためにテストしましたWAF-as-a-serviceオファリングの

このツールは、偽陰性率で測定すると、テストされた3つのクラウドベースのWAFをすべて正常にバイパスし、ModSecurityの最低63％からAmazon Web ServicesおよびCloudflareのWAFの最高XNUMX％までさまざまな成功を収めました。、浙江大学の大学院生でAutoSpearチームのメンバーであるZhenqingQu氏は述べています。

「さまざまな脆弱性のために検出シグネチャが堅牢ではなかったため、ケーススタディは[ツールの]可能性を示しています」と彼は言いました。「コメントや空白を追加するだけで一部のWAFをバイパスできますが、最も効果的な変更は特定のWAFによって異なります。」

Webアプリケーションファイアウォールは、重要なクラウドソフトウェアとWebサービスを攻撃から守り、一般的なアプリケーション攻撃を除外し、SQLインジェクション（SQLi）とも呼ばれるデータベースコマンドの挿入を試みる一般的な方法です。たとえば、2020年の調査によると、セキュリティ専門家の4人に10人がアプリケーション層攻撃の50％クラウドアプリケーションをターゲットにしたものは、WAFをバイパスしました。他の攻撃はに焦点を当てますトラフィックの検査を通じてWAFを危険にさらす.

In 彼らのプレゼンテーション、浙江大学のチームは、JSONエンコーディングを使用するかどうかに関係なく、10つの一般的なリクエストメソッド（POSTリクエストとGETリクエスト）に対してXNUMXの異なる手法を使用してリクエストを変換する方法に焦点を当てました。研究者は、XNUMXつの異なるタイプのリクエストがXNUMXつの異なるWAFベンダーによって同じように扱われ、他のベンダーは入力に異なる方法でアプローチしたことを発見しました。

インラインコメント、空白の置換、一般的なトートロジー（つまり、「10 = 1」）の代わりに他の手法（「1 <2」など）を使用するなど、3の手法のさまざまな組み合わせでリクエストを体系的に変更することにより、研究者は、XNUMXつの異なるWAFのそれぞれに対して最高のパフォーマンスを発揮する一連の変換を発見しました。

「[C]複数のミューテーションメソッドを組み合わせることで、AutoSpearは、セマンティックマッチングと正規表現マッチングの脆弱な検出シグネチャにより、主流のWAF-as-a-serviceソリューションをバイパスするのにはるかに効果的です」と研究者はプレゼンテーションスライドで述べています。

SQLインジェクション攻撃は、多くの企業にとって引き続き大きなリスクです。 OWASPトップ10Webセキュリティリスクは、2013年と2017年のリスクリストのトップにインジェクションクラスの脆弱性を評価しました。 3年の第2021のリスクとして。約400年ごとにリリースされるこのリストでは、XNUMXを超える幅広いクラスの弱点を使用して、Webアプリケーションの最も重大な脅威を特定しています。

調査チームは、特定の脆弱性を持つWebアプリケーションの作成から始め、そのアプローチを使用して、既知のエクスプロイトをWAFがキャッチしない固有の要求に変換しました。

Webアプリケーションファイアウォールをバイパスすることは、通常、XNUMXつの広範なアプローチに焦点を合わせています。アーキテクチャレベルでは、攻撃者はWAFを回避し、オリジンサーバーに直接アクセスする方法を見つけることができます。プロトコルレベルでは、さまざまな手法で、次のようなエンコーディングの仮定にエラーや不一致が使用される可能性があります。 HTTPリクエストの密輸、WAFをバイパスします。最後に、ペイロードレベルでは、攻撃者はさまざまなエンコーディングトランスフォーメーションを使用して、データベースサーバーの観点から有効なリクエストを生成しながら、WAFをだまして攻撃の検出に失敗させることができます。

チームはプレゼンテーションで、変換により、WAFとリクエスト形式に応じて、9％の確率からほぼ100％の確率で攻撃を成功させることができました。あるケースでは、研究者は、改行文字「/ n」を追加するだけで、主要なサービスとしてのWAFがバイパスされることを発見しました。

AWS、影響を受けるCloudflare

調査チームは、脆弱性を5つのWAFプロバイダーすべて（AWS、Cloudflare、CSC、F5、フォーティネット、ModSecurity、およびWallarm）に報告しました。 Cloudflare、FXNUMX、Wallarmは問題を修正したとZhenqing氏は語った。チームはまた、最も一般的なタイプの変換を検出するために使用できるバイパスパターンをベンダーに提供しました。

「欠陥を簡単に修正することはできないので、他のXNUMXつはまだ私たちと協力しています」と彼は言いました。

生成的データインテリジェンス

SQLクエリの変換はWAFセキュリティをバイパスします

Amazon SageMaker Studio ローカルモードと Docker サポートで ML ワークフローを高速化 |アマゾンウェブサービス

乾燥に関する現代と時代遅れの考え方を理解する

最新のインテリジェンス

Greenlight Garage 420 大麻ファーマーズマーケットのフォトギャラリー

インド、アンダマン諸島で新型射程250キロメートルのクリスタル・メイズ2空中発射弾道ミサイルの実験に成功

インド空軍、2年以内にTEJAS MK-XNUMX戦闘機を目指す：国際メディア

イラク、F-16にAIDEWS EWスイートを装備へ

検索拡張生成: 情報検索とテキスト生成が融合する場所 – KDnuggets

5 年に使用すべき AI デバイストップ 2024

私たちとチャット