Neue Angriffsmethode hebelt gängige Web Application Firewalls aus
von Tina Siering
Welche Funktion haben Web Application Firewalls?
Web Application Firewalls (WAF) schützen Webanwendungen und APIs in erster Linie vor weit verbreiteten Cross-Site-Scripting- und SQL-Injection-Angriffen, indem sie bösartigen HTTP-Datenverkehr filtern, überwachen und blockieren. Derartige Angriffe lassen sich zwar recht einfach abwehren, sollten aber dennoch als ernstzunehmende Bedrohung betrachtet werden. So tauchen sie auch regelmäßig in den OWASP (Open Web Application Security Project) Top 10 der kritischsten Sicherheitsrisiken für Webanwendungen auf.
Web Application Firewalls können darüber hinaus cloudbasierte Management-Plattformen schützen, die verbundene Geräte wie Access Points oder Router überwachen. Werden jedoch WAF-Funktionen, die den Datenverkehr scannen und blockieren, von Angreifern umgangen, können sensible Kunden- und Geschäftsdaten in die Hände von Cyberkriminellen gelangen. Angesichts der zunehmenden Migration von IT-Prozessen in Cloud-Umgebungen kann eine WAF-Umgehung also weitreichende Risiken für Unternehmen mit sich bringen.
So umgehen Kriminelle gängige Web Application Firewalls
Forscher des US-amerikanischen Cybersicherheit-Unternehmens Claroty haben eine Angriffsmethode entwickelt, mit der sie die Web Application Firewalls mehrerer branchenführender Anbieter umgehen konnten. Die Methode wurde bei unabhängigen Forschungsarbeiten auf einer Verwaltungsplattform für drahtlose Geräte von Cambium Networks entdeckt.
Zunächst fanden die Forscher eine Cambium-SQL-Injection-Schwachstelle, mit der sie Benutzersitzungen, SSH-Schlüssel, Passwort-Hashes, Tokens und Verifizierungscodes exfiltrieren konnten. Die Experten konnten die SQL-Injection-Schwachstelle zwar gegen die On-Premises-Version ausnutzen, jedoch wurden Hacking-Versuche gegen die Cloud-Version von der Amazon Web Services (AWS) WAF blockiert.
Dann haben die Experten herausgefunden, dass sie die AWS WAF umgehen können, indem sie die JSON-Syntax an SQL-Injection-Payloads anhängen. Bei JSON (JavaScript Object Notation) handelt es sich um ein Datei- und Datenformat, das häufig beim Datenaustausch zwischen einem Server und einer Webanwendung genutzt wird. In SQL-Datenbanken-Engines gehört die JSON-Unterstützung bereits seit vielen Jahren zum Standard, nicht jedoch bei WAFs.
Wie Claroty berichtet, ist es mit der JSON-Syntax möglich, neue SQLi-Payloads zu erstellen. Da diese Payloads gewöhnlich nicht bekannt sind, können sie von WAFs nicht analysiert werden. Sie fliegen also unter dem Radar vieler Sicherheitstools und bleiben somit unentdeckt. Die Angriffsmethode konnte auch die Firewalls der folgenden vier Anbieter umgehen: Cloudflare, F5, Imperva und Palo Alto Networks.
Wie Sie eine Umgehung von Web Application Firewalls verhindern können
Alle fünf genannten Anbieter haben die Schwachstelle mittlerweile bestätigt und diese behoben, indem sie die SQL-Prüfabläufe ihrer Produkte um eine Unterstützung für die JSON-Syntax erweitert haben. Allerdings ist es durchaus möglich, dass die Produkte anderer Anbieter weiterhin keine JSON-Unterstützung bieten.
Um eine Umgehung von WAFs zu unterbinden, raten Sicherheitsexperten Unternehmen daher dringend dazu, die JSON-Unterstützung der WAF ihres Cloud-Anbieters zu überprüfen. Darüber hinaus sollten Sie darauf achten, dass stets die aktuellste WAF-Version zum Einsatz kommt. Andernfalls kann es passieren, dass sich Angreifer Zugang zu Ihren Systemen verschaffen, auf Ihre Backend-Datenbank zugreifen und weitere Schwachstellen ausnutzen, um Daten zu exfiltrieren. Davon bedroht sind insbesondere OT- und IoT-Plattformen, die cloudbasierte Überwachungs- und Verwaltungssysteme einsetzen.
Fazit
Viele Unternehmen lagern ihre IT-Anwendungen heutzutage in die Cloud aus. Sicher ist das nicht immer: Da die Web Application Firewalls mancher Cloud-Anbieter keine Unterstützung der JSON-Syntax bieten, können die Funktionen von Sicherheitstools einfach umgangen werden. Cyberkriminelle müssen dann lediglich die JSON-Syntax an SQL-Injection-Payloads anhängen, um neue Payloads zu erzeugen, die von den WAFs nicht erkannt werden. Die Folge: Bösartiger Datenverkehr bleibt unentdeckt, sodass einer Datenexfiltration nichts mehr im Wege steht. Überprüfen Sie deshalb zeitnah, ob die WAF Ihres Cloud-Anbieters auf dem aktuellsten Stand ist und ob sie die JSON-Syntax unterstützt.