Charlie Osborne 14 Aralık 2022, 12:01 UTC
Güncellendi: 14 Aralık 2022, 12:04 UTC
Akamai, kusuru çözmek için birkaç ay önce bir güncelleme yayınladı.
Bir araştırmacı, Spring Boot çalıştıran Akamai web uygulaması güvenlik duvarlarını (WAF) atlayarak potansiyel olarak uzaktan kod yürütmeye (RCE) yol açan bir tekniği açıkladı.
Akamai’nin birkaç ay önce yamalanan WAF’si, Dağıtılmış Hizmet Reddi (DDoS) saldırıları riskini azaltmak için tasarlandı ve bilinen web güvenlik tehditlerini engellemek için uyarlanabilir teknolojiler kullanıyor.
‘ takma adıyla da anılan güvenlik araştırmacısı Peter H.öğleden sonra‘, saldırının Spring Expression Language (SpEL) enjeksiyonu kullandığını söyledi.
Böcek ödül avcısı, Synack pentester’ın yardımıyla bypass’ı buldu Osman Manşa özel bir Bugcrowd programıyla bir etkileşim sırasında.
Sunucu tarafı şablon enjeksiyonu
Peter H tarafından yazılan teknik bir yazı, baypasın merkezinde bir sunucu tarafı şablon enjeksiyonunun (SSTI) olduğunu ortaya koyuyor. Spring Boot’un savunmasız sürümleri, beyaz etiketli hata sayfaları içeren bir SpEL ifadesinde hata mesajları veriyor. Güvenlik açığı bulunan bir çerçeve kullanıldığında, bu enjeksiyon sunucu tarafında değerlendirilir ve kötüye kullanım için potansiyel bir yol açar.
Akamai’nin WAF’ı, test sırasında SSTI’yi bloke etti. Ancak ekip, muhtemelen Java aracılığıyla bir işletim sistemi komutunu çağırmak için SpEL’i kullanmanın yollarını aramaya devam etti.
İLİŞKİLİ JSON sözdizimi saldırısı, SQL enjeksiyon yüklerinin WAF’lerden kaçırılmasına izin verdi
En bariz yol, SpEL referansıyla başlayarak sınıfa giden bir yol bulmaktı, ancak bu, Akamai’nin yazılımı tarafından engellendi.
Araştırmacı, “Bunun işe yaramayacağından şüpheleniyordum, ancak bir WAF etrafında çalışmaya çalışırken, çalıştığını bildiğiniz küçük şeylerden daha büyük ve daha karmaşık yüklere kadar inşa etmek gerçekten önemlidir” dedi.
Bir sonraki aşama, Peter H’nin “istediğimiz yönteme ulaşmak için doğrudan yöntem çağrısı veya yansıma tabanlı çağrıya” izin vereceğini söylediği keyfi bir sınıfa referans bulmaktı.
Peter H ve Mansha, öğesine erişim elde etmek için bir yansıma yöntemi kullandılar, değere sahip rastgele bir Dize oluşturdular, yönteme eriştiler ve erişim için başka bir dizi oluşturdular – böylece uygulanabilir bir RCE yükünün geliştirilmesini sağladılar.
Nihai yük 3kb’nin altındaydı ve sunucu tarafından bir GET isteği olarak kabul edildi.
Zor giriş noktası
Ancak, WAF’ı atlamak hiç de kolay bir iş değildi. Peter H, bir giriş noktası bulmanın yaklaşık 500 ustaca girişimde bulunduğunu ve 14 saatten fazla sürdüğünü belirtti.
Araştırmacı, kör taklitçileri önlemek için metin biçiminde son bir yük sağlamayı reddetti.
“Bu durumda, hem Akamai WAF’ı atlayacak hem de yürütüldüğü bağlamda çalışacak bir yük oluşturmak için Java ve SpEL yetenekleri hakkında derin bilgi gerekliydi” dediler.
Akıllı yanıt
Yorum için yaklaşıldığında, Akamai şunları söyledi: günlük yudum Baypasın ancak araştırmacıların Akamai WAF koruma motorunun eski bir sürümünü kullanması nedeniyle mümkün olduğu.
25 Temmuz 2022’de bir yama yayınlandı. Sonuç olarak, en son motor sürümünü çalıştıran müşteriler istismar riski altında değil.
En son web uygulaması güvenlik duvarı haberlerinin devamını okuyun
Akamai şunları söyledi: “Akamai, Akamai’nin WAF’ını atladığını iddia eden bir güvenlik araştırmacısının bulgularının farkında. Bu sorun keşfedildi ve bu blog gönderisinin yayınlanmasından birkaç ay önce bir güncelleme yayınlandı.
“Akamai Tehdit Araştırması ekibi her zaman yeni saldırı türlerinin peşindedir ve korumaları proaktif olarak düzenli olarak güncellemek için çalışır. Akamai, tüm müşterilerin, Akamai WAF’a güç sağlayan koruma motoru olan Adaptive Security Engine’in, ideal olarak otomatik güncellemeler aracılığıyla güncel olmasını sağlamasını tavsiye ediyor.”
günlük yudum ilgili araştırmacılara ulaştı ve yorum yaptıklarında bu makaleyi güncelleyeceğiz.
KAÇIRMAYIN Black Hat Europe 2022: Bilgisayar korsanlığı araçları yıllık güvenlik konferansında sergileniyor