Tường lửa ứng dụng web (WAF) được thiết kế để bảo vệ các ứng dụng và API dựa trên web trước các lưu lượng truy cập HTTP/HTTPS độc hại bên ngoài, đáng chú ý là một số cuộc tấn công phổ biến như CSRF, XSS hay SQL Injection.
Các nhà nghiên cứu của Claroty đã phát hiện ra kỹ thuật bypass (vượt qua) WAF sau khi tiến hành phân tích nền tảng quản lý thiết bị không dây của Cambium Networks. Họ đã phát hiện lỗ hổng SQL Injection có thể được sử dụng để thu thập các thông tin nhạy cảm, chẳng hạn như phiên cookie, token, khóa SSH và hàm băm mật khẩu.
Việc khai thác lỗ hổng hoạt động với phiên bản tại chỗ, nhưng nỗ lực khai thác lỗ hổng này với phiên bản đám mây đã bị WAF của Amazon Web Services (AWS) chặn và gắn cờ payload SQL Injection là độc hại. Phân tích sâu hơn cho thấy rằng WAF có thể bị phá vỡ bằng cách lạm dụng định dạng chia sẻ dữ liệu JSON. Cú pháp JSON được hỗ trợ bởi tất cả các công cụ SQL chính và nó được bật theo mặc định.
Các nhà nghiên cứu của Claroty đã sử dụng cú pháp JSON để tạo một payload SQL Injection mới vượt qua WAF. Họ đã đạt được điều này bằng cách sử dụng toán tử JSON ‘@<’, thao tác này cho phép payload chuyển đến cơ sở dữ liệu được nhắm mục tiêu.
Sau khi xác minh phương pháp vượt qua AWS WAF, các nhà nghiên cứu đã kiểm tra xem nó có hoạt động với một số giải pháp tường lửa nổi tiếng như Palo Alto Networks, Cloudflare, F5 và Imperva hay không. Họ đã mô phỏng lại thành công cách thức đã thực hiện trên AWS WAP, khi không có thay đổi nào đối với các payload tấn công trên các sản phẩm tường lửa này.
Claroty thử nghiệm tấn công sử dụng cú pháp JSON trên một số nhà cung cấp WAF
“Chúng tôi phát hiện ra rằng các WAF của nhiều nhà cung cấp lớn không hỗ trợ cú pháp JSON trong quy trình kiểm tra SQL Injection của họ, cho phép chúng tôi thêm cú pháp JSON vào một câu lệnh SQL, điều này khiến WAF khó có thể phát hiện được các cuộc tấn công”, hãng bảo mật này giải thích.
Theo nghiên cứu, tất cả các nhà cung cấp bị ảnh hưởng đã thêm hỗ trợ cú pháp JSON vào sản phẩm của họ, nhưng Claroty tin rằng các sản phẩm WAF khác cũng có thể bị ảnh hưởng.
Claroty đánh giá: “Tin tặc khi sử dụng kỹ thuật mới này có thể truy cập cơ sở dữ liệu backend và sử dụng các lỗ hổng cũng như khai thác bổ sung để đánh cắp thông tin thông qua truy cập trực tiếp vào máy chủ hoặc qua đám mây. Đây là mối đe dọa nguy hiểm, đặc biệt trong bối cảnh các nền tảng OT và IoT của nhiều tổ chức, doanh nghiệp đã chuyển sang hệ thống quản lý và giám sát dựa trên đám mây”.
Hồng Đạt
(theo securityweek)
13:00 | 29/12/2023
15:00 | 28/11/2022
10:00 | 18/01/2023
07:00 | 15/09/2022
10:00 | 19/09/2022
16:00 | 18/12/2023
Theo chia sẻ của giám đốc điều hành nhà sản xuất chip đắt giá nhất thế giới NVIDIA (Hoa Kỳ) - Jensen Huang, công ty sẽ mở rộng quan hệ đối tác với các công ty công nghệ hàng đầu của Việt Nam đồng thời hỗ trợ Việt Nam đào tạo nhân tài phát triển trí tuệ nhân tạo và cơ sở hạ tầng kỹ thuật số. Tập đoàn NVIDIA mong muốn thiết lập một trung tâm, cứ điểm tại Việt Nam để thu hút nhân tài trên khắp thế giới, qua đó góp phần phát triển hệ sinh thái bán dẫn và trí tuệ nhân tạo.
13:00 | 14/12/2023
Google DeepMind đã sử dụng trí tuệ nhân tạo (AI) để dự đoán cấu trúc của hơn 2 triệu vật liệu mới, một bước đột phá mà hãng cho biết có thể sớm được sử dụng để cải thiện các công nghệ trong thế giới thực.
10:00 | 26/10/2023
Tốc độ 5G tải xuống trung bình của nhà mạng T-Mobile trong quý III/2023 là 221,57 Mb/giây, gần bằng mạng băng thông rộng cố định mà Cox cung cấp cho khách hàng trong cùng kỳ (260,09 Mb/giây).
15:00 | 16/10/2023
Tòa án sơ thẩm Quận Tagansky ở Moscow (Nga) đưa ra án phạt đối với Zoom Video Communications sau khi chủ sở hữu nền tảng phần mềm gọi video này không bản địa hóa dữ liệu cá nhân của khách hàng Nga.
Lệnh cấm điện thoại di động trong trường học tại Hà Lan có hiệu lực từ tháng 1/2024. Bên cạnh điện thoại di động, chính quyền Hà Lan sẽ cấm cả iPad, đồng hồ thông minh và các thiết bị tương tự tại trường học.
17:00 | 22/12/2023
Ngày 14/12, trong khuôn khổ Giao lưu hữu nghị Quốc phòng biên giới Việt Nam - Lào - Campuchia lần thứ nhất, tại khu vực biên giới chung ba nước Việt Nam - Lào - Campuchia đã diễn ra cuộc gặp thường niên Bộ trưởng Bộ Quốc phòng ba nước Việt Nam - Lào- Campuchia. Đại tướng Phan Văn Giang, Uỷ viên Bộ Chính trị, Bộ trưởng Bộ Quốc phòng Việt Nam; Đại tướng Chansamone Chanyalath, Ủy viên Bộ Chính trị Ban Chấp hành Trung ương Đảng Nhân dân Cách mạng Lào, Phó Thủ tướng Chính phủ, Bộ trưởng Bộ Quốc phòng Lào; Đại tướng Tea Seiha, Phó Thủ tướng Chính phủ, Bộ trưởng Bộ Quốc phòng Campuchia đồng chủ trì giao lưu.
15:00 | 18/12/2023
Ngày 8/12 vừa qua, các nước thành viên Liên minh châu Âu (EU) đã đạt được thỏa thuận về một bộ quy tắc đối với việc quản lý trí tuệ nhân tạo (AI). Đây được coi là văn bản mang tính bước ngoặt, là nền tảng để xây dựng bộ quy tắc đầy đủ về trí tuệ nhân tạo, cũng là khuôn khổ pháp lý đầu tiên trong lĩnh vực này.
14:00 | 14/12/2023