Güvenlik araştırmacıları, Radware’in Cloud Web Uygulaması Güvenlik Duvarı’nda (WAF) saldırganların güvenlik filtrelerini atlamasını ve korunan web uygulamalarına kötü amaçlı yükler sunmasını sağlayan iki kritik güvenlik açıkını ortaya çıkardılar.
CVE-2024-56523 ve CVE-2024-56524 olarak adlandırılan bu kusurlar, WAF’ın standart olmayan HTTP isteklerini nasıl işlediğini ve özel karakterler içeren kullanıcı tarafından sağlanan girdileri nasıl işlediğini vurgulamaktadır.
7 Mayıs 2025’te açıklanan güvenlik açıkları, son güncellemelerdeki potansiyel düzeltmelerin kanıtlarına rağmen Radware tarafından kabul edilmez.
.png
)
İlk güvenlik açığı (CVE-2024-56523), WAF’ın istek gövdesinde yabancı veri içeren HTTP GET isteklerini doğru bir şekilde doğrulamamasından yararlanır.
HTTP/1.1 spesifikasyonu GET isteklerinde gövdelere izin verirken, çoğu web sunucusu bunları görmezden gelir ve WAF ve arka uç sistemlerinin bu tür girdileri nasıl işlediği arasında bir tutarsızlık yaratır.
Saldırganlar randomize verileri keyfi parametreler veya kodlanmış yükler gibi bir GET isteğinin gövdesine ekleyebilir.
Bu “gürültü”, WAF’ın ayrıştırma mantığını karıştırarak kötü niyetli içeriğin tespit edilmemiş geçmesine izin verir.
Örneğin, Base64 kodlu önemsiz verilerle doldurulmuş bir gövde içinde gizlenmiş bir SQL enjeksiyon yükü, imza tabanlı algılama kurallarından kaçabilir.
Bu teknik, Radware’in varsayılan yapılandırmasında test edilen güvenlik politikalarının% 70’inden fazlası için korumaları atlar.
İstismar, bir kavram kanıtı CURL komutunun gösterdiği gibi gelişmiş araç gerektirmez:
bashcurl -X GET "https://target.com/search?q=test" -d "junk=data&malicious=payload"
Bu anomali, güvenlik cihazlarında kesinlikle protokol uyumlu ancak mantıksal olarak tutarsız trafik kullanım risklerinin altını çizmektedir.
Özel Karakter İşleme Kusurları
İkinci güvenlik açığı (CVE-2024-56524), alfanumerik olmayan karakterler içeren istekleri işlerken yanlış giriş sterilizasyonundan kaynaklanmaktadır.
Araştırmacılar gibi semboller eklemenin ~– ^veya Parametre Değerlerine UNICODE kontrol karakterleri WAF’ın tokenleştirme işlemini bozar.
XSS yüklerini içeren bir vaka çalışması %0d%0a (Url kodlu taşıma iadesi ve çizgi beslemesi) TAG, WAF’ın giriş sınırını yanlış tanımlamasına neden oldu ve komut dosyasının yürütülmesine izin verdi.
Bu güvenlik açığı, başlıklar, çerezler ve form sonrası veriler dahil olmak üzere tüm giriş vektörlerini etkiler.
Saldırganlar, yük dağıtım başarı oranlarını en üst düzeye çıkarmak için bu bypass’ı vaka manipülasyonu veya gizlenmiş kodlamalar gibi diğer kaçınma teknikleriyle zincirleyebilir.
Özellikle, bu kusurlar, anomali tespiti için makine öğrenme modelleri kullanan modern WAF’lere rağmen devam etmektedir.
Radware sisteminin kural motoru, kapsamlı sözdizimi analizine göre hızı önceliklendiriyor ve kenar senaryolarında kör noktalar oluşturuyor.
Ekosistem etkisi ve azaltma zorlukları
Bu güvenlik açıklarının birleşik riskleri, bireysel kuruluşların ötesinde daha geniş bulut güvenlik ekosistemine uzanmaktadır.
Radware’s WAF, finans ve sağlık hizmetleri gibi kritik altyapı sektörleri de dahil olmak üzere küresel olarak 15.000’den fazla kurumsal uygulamayı koruyor.
Başarılı baypaslar, büyük ölçekli veri ihlallerini, fidye yazılımı dağıtımlarını veya API bütünlük uzlaşmalarını mümkün kılabilir.
Araştırmacılar son ürün yazılımı güncellemelerinde (v3.2.1+) yamalar gözlemlerken, Radware güvenlik açıklarını veya yayınlanan tavsiyeleri resmi olarak kabul etmedi.
Bu sessizlik, azaltma çabalarını karmaşıklaştırır ve müşterileri tehdit istihbaratı için üçüncü taraf açıklamalara güvenir. Güvenlik ekiplerine aşağıdakilere tavsiye edilir:
- Gövde ile anormal GET isteklerini izleyin
- İkincil giriş doğrulama katmanlarını uygulama düzeyinde uygulayın
- İçeren parametre değerleri için denetim günlükleri
~–^veya Unicode Kontrol Noktaları
Kusurları keşfeden araştırmacı Oriol Gegundez, “WAF’lere monolitik kalkan olarak muamele edilemeyeceğini vurguladı.
Bulut anadili mimariler çoğaldıkça, bu bulgular otomatik korumayı insan uzmanlığıyla birleştiren derinlemesine savunma stratejilerine acil ihtiyaç olduğunu vurgulamaktadır.
O zamana kadar, kuruluşlar WAF’lerinin kör noktalara sahip olduğunu ve buna göre savunmaları planlamalıdır.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!