Tường lửa ứng dụng web (WAF) được thiết kế để bảo vệ các ứng dụng và API dựa trên web trước các lưu lượng truy cập HTTP/HTTPS độc hại bên ngoài, đáng chú ý là một số cuộc tấn công phổ biến như CSRF, XSS hay SQL Injection.
Các nhà nghiên cứu của Claroty đã phát hiện ra kỹ thuật bypass (vượt qua) WAF sau khi tiến hành phân tích nền tảng quản lý thiết bị không dây của Cambium Networks. Họ đã phát hiện lỗ hổng SQL Injection có thể được sử dụng để thu thập các thông tin nhạy cảm, chẳng hạn như phiên cookie, token, khóa SSH và hàm băm mật khẩu.
Việc khai thác lỗ hổng hoạt động với phiên bản tại chỗ, nhưng nỗ lực khai thác lỗ hổng này với phiên bản đám mây đã bị WAF của Amazon Web Services (AWS) chặn và gắn cờ payload SQL Injection là độc hại. Phân tích sâu hơn cho thấy rằng WAF có thể bị phá vỡ bằng cách lạm dụng định dạng chia sẻ dữ liệu JSON. Cú pháp JSON được hỗ trợ bởi tất cả các công cụ SQL chính và nó được bật theo mặc định.
Các nhà nghiên cứu của Claroty đã sử dụng cú pháp JSON để tạo một payload SQL Injection mới vượt qua WAF. Họ đã đạt được điều này bằng cách sử dụng toán tử JSON ‘@<’, thao tác này cho phép payload chuyển đến cơ sở dữ liệu được nhắm mục tiêu.
Sau khi xác minh phương pháp vượt qua AWS WAF, các nhà nghiên cứu đã kiểm tra xem nó có hoạt động với một số giải pháp tường lửa nổi tiếng như Palo Alto Networks, Cloudflare, F5 và Imperva hay không. Họ đã mô phỏng lại thành công cách thức đã thực hiện trên AWS WAP, khi không có thay đổi nào đối với các payload tấn công trên các sản phẩm tường lửa này.
Claroty thử nghiệm tấn công sử dụng cú pháp JSON trên một số nhà cung cấp WAF
“Chúng tôi phát hiện ra rằng các WAF của nhiều nhà cung cấp lớn không hỗ trợ cú pháp JSON trong quy trình kiểm tra SQL Injection của họ, cho phép chúng tôi thêm cú pháp JSON vào một câu lệnh SQL, điều này khiến WAF khó có thể phát hiện được các cuộc tấn công”, hãng bảo mật này giải thích.
Theo nghiên cứu, tất cả các nhà cung cấp bị ảnh hưởng đã thêm hỗ trợ cú pháp JSON vào sản phẩm của họ, nhưng Claroty tin rằng các sản phẩm WAF khác cũng có thể bị ảnh hưởng.
Claroty đánh giá: “Tin tặc khi sử dụng kỹ thuật mới này có thể truy cập cơ sở dữ liệu backend và sử dụng các lỗ hổng cũng như khai thác bổ sung để đánh cắp thông tin thông qua truy cập trực tiếp vào máy chủ hoặc qua đám mây. Đây là mối đe dọa nguy hiểm, đặc biệt trong bối cảnh các nền tảng OT và IoT của nhiều tổ chức, doanh nghiệp đã chuyển sang hệ thống quản lý và giám sát dựa trên đám mây”.
Hồng Đạt
(theo securityweek)
13:00 | 29/12/2023
15:00 | 28/11/2022
10:00 | 18/01/2023
07:00 | 15/09/2022
10:00 | 19/09/2022
21:00 | 31/01/2025
Google Cloud đã công bố Dự báo An ninh mạng năm 2025, cung cấp phân tích chi tiết về bối cảnh mối đe dọa mới nổi và các xu hướng bảo mật chính mà các tổ chức trên toàn thế giới nên chuẩn bị, trong đó trí tuệ nhân tạo (AI), địa chính trị và tội phạm mạng là những yếu tố trọng tâm. Báo cáo cũng đã thông tin chi tiết về chiến thuật của tội phạm mạng, đưa ra khuyến nghị giúp tăng cường bảo mật trong năm tới.
09:00 | 29/01/2025
Tỷ lệ chuyển đổi sang sử dụng địa chỉ Internet thế hệ mới IPv6 của Việt Nam hiện đã đạt 65,5%, đứng thứ 7 toàn cầu, tăng 2 bậc so với thời điểm cuối năm 2023.
17:00 | 28/01/2025
Fortinet mới đây đã cảnh báo một chiến dịch lừa đảo mới lợi dụng tính năng của Microsoft 365 để gửi yêu cầu thanh toán cho người dùng, dụ dỗ họ đăng nhập vào tài khoản và trao quyền kiểm soát tài khoản PayPal cho kẻ tấn công.
16:00 | 24/12/2024
Theo ghi nhận của Trung tâm dữ liệu Thành phố Hồ Chí Minh, đã có 57.586.971 sự kiện mất an toàn thông tin trong 9 tháng đầu năm 2024. Trong đó hầu hết các vụ tấn công nhằm thu thập thông tin.
Nền tảng truyền thông xã hội Bluesky với cách thức hoạt động tương tự X (trước đây là Twitter) hiện đang trở thành sự lựa chọn ngày càng phổ biến trong cộng đồng khoa học.
09:00 | 03/02/2025
Khép lại năm 2024, Lãnh đạo Ban Cơ yếu Chính phủ, cấp ủy, lãnh đạo các cấp trong toàn lực lượng cơ yếu, nhất là đội ngũ cán bộ chủ chốt đã chủ động bám sát yêu cầu nhiệm vụ và thực tiễn, cùng với sự nỗ lực rất lớn của toàn thể cán bộ, nhân viên ngành Cơ yếu Việt Nam tổ chức triển khai đồng bộ, toàn diện trên các mặt công tác, hoàn thành tốt nhiệm vụ được giao, trong đó có nhiều nhiệm vụ hoàn thành xuất sắc, tiếp tục khẳng định vị thế, vai trò đặc biệt quan trọng của hoạt động cơ yếu. Dưới đây là 10 dấu ấn nổi bật trong năm 2024 của ngành Cơ yếu Việt Nam.
08:00 | 29/01/2025
ByteDance - công ty mẹ TikTok vừa giới thiệu mô hình trí tuệ nhân tạo (AI) mới có tên OmniHuman-1, có khả năng sản xuất video deepfake mà người dùng thông thường gần như không thể phân biệt với video thật.
08:00 | 07/02/2025