Tường lửa ứng dụng web (WAF) được thiết kế để bảo vệ các ứng dụng và API dựa trên web trước các lưu lượng truy cập HTTP/HTTPS độc hại bên ngoài, đáng chú ý là một số cuộc tấn công phổ biến như CSRF, XSS hay SQL Injection.

Các nhà nghiên cứu của Claroty đã phát hiện ra kỹ thuật bypass (vượt qua) WAF sau khi tiến hành phân tích nền tảng quản lý thiết bị không dây của Cambium Networks. Họ đã phát hiện lỗ hổng SQL Injection có thể được sử dụng để thu thập các thông tin nhạy cảm, chẳng hạn như phiên cookie, token, khóa SSH và hàm băm mật khẩu.

Việc khai thác lỗ hổng hoạt động với phiên bản tại chỗ, nhưng nỗ lực khai thác lỗ hổng này với phiên bản đám mây đã bị WAF của Amazon Web Services (AWS) chặn và gắn cờ payload SQL Injection là độc hại. Phân tích sâu hơn cho thấy rằng WAF có thể bị phá vỡ bằng cách lạm dụng định dạng chia sẻ dữ liệu JSON. Cú pháp JSON được hỗ trợ bởi tất cả các công cụ SQL chính và nó được bật theo mặc định.

Các nhà nghiên cứu của Claroty đã sử dụng cú pháp JSON để tạo một payload SQL Injection mới vượt qua WAF. Họ đã đạt được điều này bằng cách sử dụng toán tử JSON ‘@<’, thao tác này cho phép payload chuyển đến cơ sở dữ liệu được nhắm mục tiêu.

Sau khi xác minh phương pháp vượt qua AWS WAF, các nhà nghiên cứu đã kiểm tra xem nó có hoạt động với một số giải pháp tường lửa nổi tiếng như Palo Alto Networks, Cloudflare, F5 và Imperva hay không. Họ đã mô phỏng lại thành công cách thức đã thực hiện trên AWS WAP, khi không có thay đổi nào đối với các payload tấn công trên các sản phẩm tường lửa này.

 Claroty thử nghiệm tấn công sử dụng cú pháp JSON trên một số nhà cung cấp WAF

“Chúng tôi phát hiện ra rằng các WAF của nhiều nhà cung cấp lớn không hỗ trợ cú pháp JSON trong quy trình kiểm tra SQL Injection của họ, cho phép chúng tôi thêm cú pháp JSON vào một câu lệnh SQL, điều này khiến WAF khó có thể phát hiện được các cuộc tấn công”, hãng bảo mật này giải thích.

Theo nghiên cứu, tất cả các nhà cung cấp bị ảnh hưởng đã thêm hỗ trợ cú pháp JSON vào sản phẩm của họ, nhưng Claroty tin rằng các sản phẩm WAF khác cũng có thể bị ảnh hưởng.

Claroty đánh giá: “Tin tặc khi sử dụng kỹ thuật mới này có thể truy cập cơ sở dữ liệu backend và sử dụng các lỗ hổng cũng như khai thác bổ sung để đánh cắp thông tin thông qua truy cập trực tiếp vào máy chủ hoặc qua đám mây. Đây là mối đe dọa nguy hiểm, đặc biệt trong bối cảnh các nền tảng OT và IoT của nhiều tổ chức, doanh nghiệp đã chuyển sang hệ thống quản lý và giám sát dựa trên đám mây”.