Tường lửa ứng dụng web (WAF) được thiết kế để bảo vệ các ứng dụng và API dựa trên web trước các lưu lượng truy cập HTTP/HTTPS độc hại bên ngoài, đáng chú ý là một số cuộc tấn công phổ biến như CSRF, XSS hay SQL Injection.
Các nhà nghiên cứu của Claroty đã phát hiện ra kỹ thuật bypass (vượt qua) WAF sau khi tiến hành phân tích nền tảng quản lý thiết bị không dây của Cambium Networks. Họ đã phát hiện lỗ hổng SQL Injection có thể được sử dụng để thu thập các thông tin nhạy cảm, chẳng hạn như phiên cookie, token, khóa SSH và hàm băm mật khẩu.
Việc khai thác lỗ hổng hoạt động với phiên bản tại chỗ, nhưng nỗ lực khai thác lỗ hổng này với phiên bản đám mây đã bị WAF của Amazon Web Services (AWS) chặn và gắn cờ payload SQL Injection là độc hại. Phân tích sâu hơn cho thấy rằng WAF có thể bị phá vỡ bằng cách lạm dụng định dạng chia sẻ dữ liệu JSON. Cú pháp JSON được hỗ trợ bởi tất cả các công cụ SQL chính và nó được bật theo mặc định.
Các nhà nghiên cứu của Claroty đã sử dụng cú pháp JSON để tạo một payload SQL Injection mới vượt qua WAF. Họ đã đạt được điều này bằng cách sử dụng toán tử JSON ‘@<’, thao tác này cho phép payload chuyển đến cơ sở dữ liệu được nhắm mục tiêu.
Sau khi xác minh phương pháp vượt qua AWS WAF, các nhà nghiên cứu đã kiểm tra xem nó có hoạt động với một số giải pháp tường lửa nổi tiếng như Palo Alto Networks, Cloudflare, F5 và Imperva hay không. Họ đã mô phỏng lại thành công cách thức đã thực hiện trên AWS WAP, khi không có thay đổi nào đối với các payload tấn công trên các sản phẩm tường lửa này.
Claroty thử nghiệm tấn công sử dụng cú pháp JSON trên một số nhà cung cấp WAF
“Chúng tôi phát hiện ra rằng các WAF của nhiều nhà cung cấp lớn không hỗ trợ cú pháp JSON trong quy trình kiểm tra SQL Injection của họ, cho phép chúng tôi thêm cú pháp JSON vào một câu lệnh SQL, điều này khiến WAF khó có thể phát hiện được các cuộc tấn công”, hãng bảo mật này giải thích.
Theo nghiên cứu, tất cả các nhà cung cấp bị ảnh hưởng đã thêm hỗ trợ cú pháp JSON vào sản phẩm của họ, nhưng Claroty tin rằng các sản phẩm WAF khác cũng có thể bị ảnh hưởng.
Claroty đánh giá: “Tin tặc khi sử dụng kỹ thuật mới này có thể truy cập cơ sở dữ liệu backend và sử dụng các lỗ hổng cũng như khai thác bổ sung để đánh cắp thông tin thông qua truy cập trực tiếp vào máy chủ hoặc qua đám mây. Đây là mối đe dọa nguy hiểm, đặc biệt trong bối cảnh các nền tảng OT và IoT của nhiều tổ chức, doanh nghiệp đã chuyển sang hệ thống quản lý và giám sát dựa trên đám mây”.
Hồng Đạt
(theo securityweek)
13:00 | 29/12/2023
15:00 | 28/11/2022
10:00 | 18/01/2023
07:00 | 15/09/2022
10:00 | 19/09/2022
14:00 | 04/05/2024
Cục An toàn thông tin, Bộ Thông tin và Truyền thông (TT&TT) đưa ra cảnh báo về trang web lừa đảo và khuyến nghị người dân nâng cao cảnh giác, tránh truy cập và làm theo hướng dẫn của các đối tượng xấu.
10:00 | 28/03/2024
Một công dân Trung Quốc và là cựu kỹ sư phần mềm Google đã bị truy tố vì bị cáo buộc đánh cắp các tập tin nhạy cảm và bí mật thương mại liên quan đến công nghệ AI của Google.
10:00 | 19/03/2024
Làn sóng khởi nghiệp về Trí tuệ nhân tạo (AI) đang dần nóng lên trong cuộc chiến giành nhân tài ở châu Âu, khiến các công ty như Google DeepMind phải đưa ra lựa chọn giữa việc trả mức lương hấp dẫn hoặc đánh mất những bộ óc giỏi nhất của công ty mình.
14:00 | 23/02/2024
Trong cơn sóng của những tiến bộ về khoa học và công nghệ ngày nay, trí tuệ nhân tạo (AI) đang nổi lên như một công cụ hỗ trợ trong các hoạt động công việc và cuộc sống của chúng ta, đặc biệt là ChatGPT và các ứng dụng chatbot khác dựa trên mô hình ngôn ngữ lớn (LLM). Khi công nghệ AI trở nên phát triển và phổ biến hơn, mọi người phải đối mặt với nhiều vấn đề về bảo mật và quyền riêng tư hơn, những thách thức này đặt ra những vấn đề trong việc quản lý, sử dụng và khai thác hiệu quả đối với các nền tảng AI. Trong bài viết này sẽ xem xét những tác động của AI ảnh hưởng đến an ninh mạng trong năm 2023 dựa trên báo cáo mới đây của hãng bảo mật Kaspersky.
Hội nghị quốc tế lần thứ 12 Lãnh đạo cấp cao phụ trách an ninh được tổ chức dựa trên sự cần thiết vì nó mở ra cơ hội để trao đổi kinh nghiệm, tìm kiếm những cách tiếp cận mới và các giải pháp tổng hợp chung cho các vấn đề cấp bách về an ninh khu vực và toàn cầu.
09:00 | 28/04/2024
Trong 02 ngày 25-26/4, Đoàn công tác của Ban Cơ yếu Chính phủ do đồng chí Nguyễn Hữu Hùng, Phó Trưởng ban làm Trưởng đoàn đã đến thăm và làm việc với các Tỉnh ủy: Đồng Nai, Bình Dương và Bình Phước về công tác cơ yếu, bảo mật và an toàn thông tin.
19:00 | 30/04/2024
Công ty được mệnh danh là “Google của Trung Quốc” - Baidu cho biết chatbot AI của hãng này, Ernie Bot đã có hơn 200 triệu người dùng trong bối cảnh cạnh tranh ngày càng khốc liệt.
19:00 | 30/04/2024