Canal de Telegram

8 dic 2022

Segu-Info » » Abuso de SQL basado en JSON malformados para saltear WAF

Abuso de SQL basado en JSON malformados para saltear WAF

8 dic 2022, 5:09:00 p.m.   Comenta primero!
   

Investigadores de la empresa de ciberseguridad industrial y de IoT Claroty han identificado un método genérico para eludir los firewalls de aplicaciones web (WAF) de varios proveedores importantes.

Los investigadores descubrieron el método luego de un análisis de la plataforma de administración de dispositivos inalámbricos de Cambium Networks. Descubrieron una vulnerabilidad de inyección SQL que podría usarse para obtener información confidencial, como cookies de sesión, tokens, claves SSH y hash de contraseñas.

La explotación de la falla funcionó contra la versión local, pero el WAF de Amazon Web Services (AWS) bloqueó un intento de explotarla contra la versión en la nube, que marcó la carga útil de inyección de SQL como maliciosa.

Un análisis posterior reveló que el WAF podría pasarse por alto al abusar del formato de intercambio de datos JSON. La sintaxis JSON es compatible con todos los principales motores SQL y está habilitada de forma predeterminada.

Los investigadores utilizaron una sintaxis JSON para crear una nueva carga útil de inyección de SQL que pasaría por alto el WAF, porque el WAF no lo entendía, sin dejar de ser válido para que el motor de la base de datos lo analice. Lo lograron mediante el uso del operador JSON "@<", que puso el WAF en un bucle y permitió que la carga útil pasara a la base de datos de destino.

Después de verificar el método de omisión con AWS WAF, los investigadores verificaron si también funcionaría con firewalls de otros proveedores. Reprodujeron con éxito la omisión, con pocos o ningún cambio en la carga útil, con productos de Palo Alto Networks, Cloudflare, F5 e Imperva.WAF omisión

Para demostrar los riesgos asociados con este ataque en el mundo real, Claroty agregó soporte para la técnica a la herramienta de explotación de código abierto SQLMap.

"Descubrimos que los WAF de los principales proveedores no admitían la sintaxis JSON en su proceso de inspección de inyección de SQL, lo que nos permitía anteponer la sintaxis JSON a una declaración SQL que cegaba a un WAF ante el código malicioso", explicó la empresa de seguridad.

En respuesta a la investigación, todos los proveedores afectados agregaron soporte de sintaxis JSON correcta a sus productos, pero Claroty cree que otros WAF también podrían verse afectados.

"Los atacantes que utilizan esta técnica novedosa podrían acceder a una base de datos de back-end y utilizar vulnerabilidades y exploits adicionales para filtrar información a través del acceso directo al servidor o a través de la nube", dijo Claroty. “Esto es especialmente importante para las plataformas OT e IoT que se han movido a sistemas de monitoreo y administración basados en la nube. Los WAF ofrecen una promesa de seguridad adicional desde la nube; un atacante capaz de eludir estas protecciones tiene un amplio acceso a los sistemas”.

Fuente: SecurityWeek | Claroty

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!