Ciberseguridad 360 | Expertos idean nueva técnica para eludir los cortafuegos de aplicaciones web (WAF)

Los investigadores de la empresa de ciberseguridad industrial y de IoT Claroty idearon una t�cnica de ataque para eludir los cortafuegos de aplicaciones web (WAF) de varios proveedores l�deres del sector.

La t�cnica fue descubierta mientras realizaban una investigaci�n no relacionada con la plataforma de gesti�n de dispositivos inal�mbricos de Cambium Networks.

Los investigadores descubrieron una vulnerabilidad de inyecci�n SQL de Cambium que utilizaron para filtrar sesiones de usuarios, claves SSH, hashes de contrase�as, tokens y c�digos de verifcaci�n.

Los expertos se�alaron que pudieron explotar la vulnerabilidad de inyecci�n SQL contra la versi�n local, mientras que los intentos de pirateo contra la versi�n en la nube fueron bloqueados por el WAF de Amazon Web Services (AWS).

A continuaci�n, los expertos empezaron a investigar c�mo eludir el WAF de AWS.

Los investigadores descubrieron que a�adir sintaxis JSON a las cargas de inyecci�n SQL permite eludir el WAF, ya que es incapaz de analizarla.

"Utilizando la sintaxis JSON, es posible crear nuevas cargas �tiles SQLi. Estas cargas �tiles, al no ser com�nmente conocidas, podr�an utilizarse para pasar desapercibidas y eludir muchas herramientas de seguridad", menciona el informe publicado por Claroty.

Utilizando la sintaxis de diferentes motores de bases de datos, pudimos compilar la siguiente lista de sentencias verdaderas en SQL:

PostgreSQL: ?{?b?:2}?::jsonb <@ ?{?a?:1, ?b?:2}?::jsonb

�Est� el JSON izquierdo contenido en el derecho? Cierto.

�

SQLite: ?{?a?:2,?c?:[4,5,{?f?:7}]}? -> ?$.c[2].f? = 7

�El valor extra�do de este JSON es igual a 7? Verdadero.

MySQL: JSON_EXTRACT(?{?id?: 14, ?name?: ?Aztalan?}?, ?$.name?) = ?Aztalan?

�El valor extra�do de este JSON es igual a 'Aztalan'? S�.

Los investigadores de Claroty utilizaron el operador JSON '@<' para lanzar el WAF en un bucle y suministrar cargas maliciosas SQLi.

Los investigadores comprueban que la t�cnica de ataque de derivaci�n tambi�n funcionaba contra cortafuegos de otros proveedores, como Cloudflare, F5, Imperva y Palo Alto Networks.

"Descubrimos que los WAF de los principales proveedores no admit�an la sintaxis JSON en su proceso de inspecci�n de inyecciones SQL, lo que nos permit�a a�adir sintaxis JSON a una sentencia SQL que cegaba a un WAF ante el c�digo malicioso", concluye el informe.

Fuente: securityaffairs