Imperva Web Uygulaması Güvenlik Duvarı Kusuru, Saldırganların WAF Kurallarına Göre İzin Vermesine İzin Veriyor


Şirket içi web uygulamalarına yönelik bir güvenlik aracı olan Imperva SecureSphere WAF'ın bazı sürümlerinde, saldırganların POST verilerini incelerken filtreleri atlamasına olanak tanıyan bir güvenlik açığı bulunmaktadır.

Saldırganlar, WAF'tan gizlice kötü amaçlı içerik sızdırarak, WAF'ın normalde engelleyeceği korumalı web uygulamalarındaki güvenlik kusurlarından yararlanma potansiyeline sahip olabilir ve bu da WAF tarafından korunan web uygulamalarının güvenliğini tehlikeye atabilir.

“Sabit Sürüm(ler)” bölümünde belirtilen güncellemeyi içermeyen Imperva SecureSphere WAF sürümlerinde kritik bir güvenlik açığı (CVE-2023-50969) bulunmaktadır. Bu güvenlik açığı, saldırganların POST verilerini incelemek için tasarlanan WAF kurallarını atlamasına olanak tanıyarak güvenlik açıklarından yararlanılmasına olanak tanır. WAF'ın normalde engelleyeceği korumalı uygulamalarda.

Saldırganın kimlik doğrulaması yapmasına gerek yoktur ve bu güvenlik açığından uzaktan yararlanabilir; ancak güvenlik kontrollerini atlamanın ciddiyeti nedeniyle kritik olarak derecelendirilmiştir.

Belge

Posta Kutunuzda Ücretsiz ThreatScan'i Çalıştırın

Trustifi'nin Gelişmiş tehdit koruması, en geniş yelpazedeki karmaşık saldırıları, kullanıcının posta kutusuna ulaşmadan önce önler. Gelişmiş Yapay Zeka Destekli E-posta Koruması ile Trustifi Ücretsiz Tehdit Taramasını deneyin.

Güvenlik Açığının Teknik Detayları:

Kod pasajı, kullanıcıların bir metin giriş alanı aracılığıyla rastgele komutlar göndermesine olanak tanıyan bir form oluşturan clam.php adlı PHP web kabuğu güvenlik açığını gösteriyor.

Kod pasajı

Form gönderildiğinde, gönderilen komutu sunucuda yürütmek için “sistem” işlevi kullanılır; bu, saldırganların sunucuda uzaktan rastgele kod yürütmesine izin vererek potansiyel olarak sistemi tehlikeye atmasına olanak tanıdığı için bir güvenlik riski oluşturur.

Kodda uygun giriş doğrulama ve temizleme işleminin bulunmaması, bir saldırganın kötü amaçlı dosyalar yüklemek, hassas verileri çalmak veya web sitesini tahrif etmek için kullanabileceği kullanıcı girişi yoluyla kötü amaçlı kod enjeksiyonuna olanak tanır.

Bir sistem komutunun, belirli bir parametreye sahip bir POST isteği aracılığıyla yürütülebildiği ve standart WAF kurallarının genellikle bu tür girişimleri engellediği (örneğin, parola dosyalarının okunması) bir güvenlik açığı mevcuttur.

Standart bir WAF kuralı tarafından engellenen girişimler

İçerik Kodlama başlığını değiştirerek, WAF'ı verileri yanlış yorumlaması ve kötü amaçlı komutun çalıştırılmasına izin vermesi için kandırarak kuralların dışına çıkılabilir.

İsteği değiştirdikten sonraki sonuç

Belirli bir WAF kuralı güvenlik açığı, saldırganların, çift İçerik Kodlama başlığı (“Öldürme Yok Bip Yok Bip” ve “deflate”) ve ardından gerçek kötü amaçlı verilerden önce tek kullanımlık bir parametre içeren hatalı biçimlendirilmiş bir HTTP isteği göndererek güvenliği atlamasına olanak tanır.

Hoya Haxa'ya göre, 10 Kasım 2023'te Imperva'ya bir güvenlik açığı bildirildi ve 26 Şubat 2024'te Imperva'nın ADC kuralları aracılığıyla bu güvenlik açığını giderecek bir güncelleme yayınlandı. 27 Mart 2024 tarihli bir blog yazısı.

Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn'de takip edin & heyecan.





Source link