Endüstriyel ve IoT siber güvenlik şirketi Claroty’den uzmanlar, çeşitli önde gelen üreticilerin web uygulaması güvenlik duvarlarını (WAF) atlamak için genel bir yöntem geliştirdi.
Claroty’nin araştırmacıları, Cambium Networks’ün kablosuz cihaz yönetimi platformu üzerinde yapılan bir çalışmanın ardından tekniği belirledi. Oturum tanımlama bilgileri, belirteçler, SSH anahtarları ve parola karmaları gibi özel verilere yetkisiz erişime izin verebilecek bir SQL enjeksiyon kusuru buldular.
Raporlar, güvenlik açığının şirket içi sürüme karşı kullanılabileceğini belirtti, ancak Amazon Web Services (AWS) WAF, SQL enjeksiyon yükünü kötü amaçlı olarak işaretleyerek bulut sürümüne karşı tüm girişimleri yasakladı.
Claroty’de bir güvenlik açığı araştırmacısı olan Noam Moshe, bir şirket blog yazısında, “Bu, özellikle daha fazla kuruluş daha fazla işi ve işlevi buluta taşımaya devam ederken, tehlikeli bir baypas” dedi.
“Buluttan izlenen ve yönetilen IoT ve OT süreçleri de bu sorundan etkilenebilir ve kuruluşlar, bu atlama girişimlerini engellemek için güvenlik araçlarının güncel sürümlerini çalıştırdıklarından emin olmalıdır.”
Daha sonraki bulgular, JSON veri paylaşım biçimini kötüye kullanarak WAF’ın atlanabileceğini ortaya çıkardı. Tüm önemli SQL motorları, JSON sözdizimini destekler ve varsayılan olarak açıktır.
“JSON sözdizimini kullanarak yeni SQLi yükleri oluşturmak mümkün. Bu yükler, yaygın olarak bilinmediğinden, radarın altından uçmak ve birçok güvenlik aracını atlatmak için kullanılabilir.” Claroty bildirdi.
CVE-2022-1361 Bir SQL Komutunda Kullanılan Özel Öğelerin Uygun Olmayan Nötrleştirilmesi (“SQL ENJEKSİYONU”)
Ayrıca, araştırmacıların ortaya çıkardığı belirli bir Cambium güvenlik açığından yararlanmanın daha zor olduğu ortaya çıktı (CVE-2022-1361). Moşe güvenlik açığının özünde basit bir SQL enjeksiyon güvenlik açığı olduğunu söylüyor; ancak gerçek kullanım süreci, kalıpların dışında düşünmemizi ve yepyeni bir SQL tekniği yaratmamızı gerektirdi”.
Bu nedenle, bu güvenlik açığını kullanarak kullanıcıların oturumlarını, SSH anahtarlarını, parola karmalarını, belirteçlerini ve doğrulama kodlarını sızdırmayı başardılar.
Güvenlik açığının ana sorunu, bu örnekteki geliştiricilerin, kullanıcı tarafından sağlanan verileri bir sorguya eklemek için hazırlanmış bir ifadeyi kullanmamalarıydı.
“Kullanıcı parametrelerini bir SQL sorgusuna eklemek ve girişi temizlemek için güvenli bir yöntem kullanmak yerine, doğrudan sorguya eklediler” diye ekledi.
WAF’ı Atlayacak Yeni SQL Enjeksiyon Yükü
WAF, Claroty araştırmacılarının oluşturduğu yeni SQL enjeksiyon yükünü tanımadı, ancak veritabanı motorunun ayrıştırması için hala geçerliydi.
Bunu JSON sözdizimini kullanarak yaptılar. Bunu, WAF’ı bir döngüye sokan ve yükün amaçlanan veritabanına ulaşmasını sağlayan “@<” JSON operatörünü kullanarak yaptılar.
Raporlar, araştırmacıların bypass’ı Imperva, Palo Alto Networks, Cloudflare ve F5 ürünlerine karşı başarılı bir şekilde yeniden ürettiğini söylüyor.
Claroty, SQLMap açık kaynak kullanım aracına teknik için destek ekledi.
Güvenlik firması, “Önde gelen satıcıların WAF’lerinin, SQL enjeksiyon inceleme sürecinde JSON sözdizimini desteklemediğini keşfettik, bu da bize, bir WAF’yi kötü amaçlı koda karşı körleştiren bir SQL deyiminin başına JSON sözdizimini eklememize izin verdi” dedi.
Bu nedenle Claroty, saldırganların bu yenilikçi yöntemi benimseyerek bir arka uç veritabanına erişim elde edebileceğini ve verileri doğrudan sunucuya veya bulut aracılığıyla sızdırmak için ek kusurlar ve açıklardan yararlanabileceğini söylüyor.
Güvenli Web Ağ Geçidi – Web Filtresi Kuralları, Etkinlik İzleme ve Kötü Amaçlı Yazılımdan Koruma – Ücretsiz E-Kitap İndirin