BLACK HAT ASIA 2022 — Команда университетских исследователей использовала базовое машинное обучение для выявления шаблонов, которые обычные брандмауэры веб-приложений (WAF) не могут определить как вредоносные, но которые все же могут доставить полезную нагрузку злоумышленнику, сказал один из исследователей в презентации на конференции. Конференция по безопасности Black Hat Asia в Сингапуре в четверг.

Исследователи из Чжэцзянского университета в Китае начали с распространенных способов преобразования инъекционных атак в базы данных веб-приложений с использованием общего языка структурированных запросов (SQL). Вместо того, чтобы использовать грубый поиск потенциальных обходов, команда создала инструмент AutoSpear, который использует пул потенциальных обходов, которые можно комбинировать с использованием стратегии взвешенной мутации, а затем тестировать для определения эффективности обходов при обходе безопасности. предложений WAF как услуга.

Инструмент успешно обошел — по показателю ложноотрицательных результатов — все семь протестированных облачных WAF с разным успехом: от 3 % для ModSecurity до 63 % для WAF от Amazon Web Services и Cloudflare. , — сказал Чжэньцин Цюй, аспирант Чжэцзянского университета и член команды AutoSpear.

«Тематические исследования показали потенциал [инструмента], поскольку сигнатуры обнаружения не были надежными из-за различных уязвимостей», — сказал он. «Просто добавление комментариев или пробелов может обойти некоторые WAF, но наиболее эффективная мутация зависит от конкретных WAF».

Брандмауэры веб-приложений — это распространенный способ защиты важного облачного программного обеспечения и веб-служб от атак, фильтрации распространенных атак приложений и попыток внедрения команд базы данных, также известных как внедрение SQL (SQLi). Например, исследование 2020 года показало, что 4 из 10 специалистов по безопасности считают, что 50% атак на уровне приложений которые нацелены на их облачное приложение, обходят их WAF. Другие атаки сосредоточены на компрометация WAF посредством проверки трафика.

In их презентация, команда из Чжэцзянского университета сосредоточилась на способах преобразования запросов с использованием 10 различных методов для четырех распространенных методов запросов: запросов POST и GET, с использованием кодировки JSON или без нее. Исследователи обнаружили, что четыре разных поставщика WAF обрабатывали четыре разных типа запросов одинаково, в то время как другие подходили к входным данным по-разному.

Систематически изменяя запросы с помощью различных комбинаций 10 методов, таких как встроенные комментарии, замена пробелов и замена общих тавтологий (то есть «1=1») на другие (например, «2<3»), исследователи нашли набор преобразований, которые лучше всего работали против каждого из семи различных WAF.

«[C]комбинируя несколько методов мутации, AutoSpear гораздо эффективнее обходит основные решения WAF как услуга из-за их уязвимых сигнатур обнаружения для семантического сопоставления и сопоставления регулярных выражений», — заявили исследователи в своих слайдах презентации.

Атаки путем внедрения SQL-кода по-прежнему представляют собой серьезный риск для многих компаний. OWASP Top-10 Web Security Risks поставил класс уязвимостей Injection на первое место в своем списке рисков в 2013 и 2017 годах, и как риск № 3 в 2021 году. Список, публикуемый примерно каждые четыре года, использует более 400 широких классов уязвимостей для определения наиболее серьезных угроз для веб-приложений.

Исследовательская группа начала с создания веб-приложений с определенными уязвимостями, а затем использовала свой подход для преобразования известных эксплойтов в уникальный запрос, который WAF не смог бы перехватить.

Обход брандмауэров веб-приложений обычно основывается на трех основных подходах. На архитектурном уровне злоумышленники могут найти способы обойти WAF и получить прямой доступ к исходному серверу. На уровне протокола различные методы могут использовать ошибки или несоответствия в предположениях кодирования, такие как Контрабанда HTTP-запросов, чтобы обойти WAF. Наконец, на уровне полезной нагрузки злоумышленники могут использовать различные преобразования кодировки, чтобы обмануть WAF и заставить его не обнаружить атаку, но при этом создать правильный запрос с точки зрения сервера базы данных.

Преобразования позволили атакам быть успешными от 9% до почти 100% времени, в зависимости от WAF и формата запроса, заявила команда в своей презентации. В одном случае исследователь обнаружил, что простое добавление символа новой строки «/n» обходит основной WAF-as-a-service.

AWS, затронутое Cloudflare

Исследовательская группа сообщила об уязвимостях всем семи провайдерам WAF: AWS, Cloudflare, CSC, F5, Fortinet, ModSecurity и Wallarm. По словам Женьцина, Cloudflare, F5 и Wallarm исправили свои проблемы. Команда также предоставила поставщикам шаблоны обхода, которые можно использовать для обнаружения наиболее распространенных типов преобразований.

«Остальные четверо все еще работают с нами, так как недостатки не так-то просто исправить», — сказал он.