WAF : Claroty dévoile une technique de contournement exploitant JSON

Le spécialiste de la sécurité des systèmes d’information industriels Claroty a mis au point une technique d'attaque susceptible de permettre à un acteur malveillant de contourner les pare-feu applicatifs Web de plusieurs grands éditeurs.

La technique est issue de l'équipe de recherche sur les menaces Team82 de Claroty, qui a révélé le contournement générique dans un billet de blog début décembre. La technique d'attaque est générique, ce qui signifie qu'elle fonctionne contre les pare-feu applicatifs Web (WAF) de plusieurs fournisseurs. Selon le billet de blog, la technique a été testée avec succès contre des produits d'Amazon Web Services, Cloudflare, F5, Imperva et Palo Alto Networks.

La technique d'attaque fonctionne en ciblant les WAF qui ne prennent pas en charge la syntaxe du format d'échange de fichiers et de données JSON dans le cadre de leur processus de détection des injections SQL. Un attaquant pourrait joindre la syntaxe JSON aux charges utiles d'injection SQL pour tromper le pare-feu. De plus, « les attaquants utilisant cette technique seraient en mesure de contourner la protection du WAF et d'utiliser des vulnérabilités supplémentaires pour exfiltrer des données ».

« Les moteurs de base de données modernes prennent aujourd'hui en charge la syntaxe JSON par défaut, les recherches et les modifications de base, ainsi qu'une gamme de fonctions et d'opérateurs JSON », a écrit Noam Moshe, chercheur en vulnérabilités chez Claroty. « Si le support de JSON est la norme parmi les moteurs de base de données, il n'en va pas de même pour les WAF. Les fournisseurs ont été lents à ajouter le support de JSON, ce qui nous a permis d'élaborer de nouvelles charges utiles d'injection SQL qui incluent JSON et qui contournent la protection fournie par les WAF ».

Les chercheurs de Team82 ont constaté que la technique de contournement générique était efficace contre la plupart des fournisseurs de WAF qu'ils ont testés, bien que le billet de blog ne précise pas quels fournisseurs avaient un support JSON préexistant et ont pu repousser l'attaque.

Après la découverte de la technique, Claroty a notifié les fournisseurs concernés, et tous les cinq ont ajouté le support JSON à leurs WAFs. Un tweet de Claroty affirme que ce support a effectivement annulé la menace introduite par la technique. Cependant, Noam Moshe a noté dans le billet de blog de Claroty que le fournisseur pense que « les produits d'autres fournisseurs peuvent être affectés, et que des examens pour le support JSON devraient être effectués ».

Interrogé sur la façon dont Claroty a décidé que c'était le bon moment pour publier la recherche après que seulement cinq fournisseurs vulnérables aient corrigé le problème, Noam Moshe a déclaré à la rédaction de TechTarget que Claroty a tenté de contacter les autres avant la publication.

« Nous avons d'abord notifié et travaillé avec tous les principaux fournisseurs et vérifié qu'ils sont conscients et ont bloqué les concepts que nous avons développés », explique Noam Moshe. « Nous avons également essayé d'informer d'autres petits fournisseurs de WAF, mais ils ne nous ont pas répondu. Cependant, étant donné que tous les principaux fournisseurs de WAF bloquent désormais ces types d'attaques, nous avons estimé que c'était le bon moment pour publier ».

La technique de contournement pourrait être utilisée dans une variété d'attaques. Les WAF sont utilisés pour protéger non seulement les applications web mais aussi, comme l'a fait remarquer Claroty, les API et les plateformes de gestion basées sur le cloud.

Par exemple, selon Noam Moshe, les attaquants pourraient utiliser le contournement pour accéder à des bases de données dorsales et, avec l'exploitation de failles supplémentaires, exfiltrer des données par le biais de serveurs ou d'instances en nuage compromis.

« Il s'agit d'un contournement dangereux, d'autant plus que de plus en plus d'organisations continuent de migrer davantage d'activités et de fonctionnalités vers le cloud », a-t-il écrit dans le billet de blog. « Les processus IoT et OT qui sont supervisés et administrés depuis le cloud peuvent également être concernés par ce problème, et les organisations doivent s'assurer qu'elles exécutent des versions mises à jour des outils de sécurité afin de bloquer ces tentatives de contournement ».