Waffled es una técnica recientemente revelada que evade los principales firewalls de aplicaciones web (WAF) al dirigirse a inconsistencias sutiles de análisis en lugar de alterar la carga útil maliciosa en sí.
Al mutar elementos inocuos como los delimitadores de límites en los datos multipartes/de forma, los conjuntos de caracteres en la aplicación/JSON o las características del espacio de nombres en la aplicación/XML, el ataque convence a un WAF de que una solicitud es benigna, mientras que el marco web posterior reconstruye y ejecuta fielmente el código de explotación incrustado.
Control de llave
1. Explotaciones de gofres Las diferencias de análisis entre WAFS y solicitudes para evitar filtros de seguridad.
2. Todos los principales proveedores de WAF son vulnerables, con 1,207 derivaciones que afectan al 90% de los sitios.
3. La mitigación está disponible a través del proxy de normas HTTP o los conjuntos de reglas WAF actualizados.
Ataque de gafas Explotos WAFS
Según un equipo de investigadores de Northeastern y Dartmouth, Waffled combina fuzzing guiado por la gramática con pruebas diferenciales automatizadas para descubrir interpretaciones de “cerebro dividido” entre un WAF de primera línea y el marco de aplicaciones detrás de él.
Descripción general de la gafas
Se genera una sola solicitud HTTP, luego mutada en todas partes, excepto la carga útil. Las manipulaciones típicas incluyen:
Insertar un byte RAW \ x00 en un límite multiparte. Reordenamiento de parámetros del encabezado (por ejemplo, límite*0 = re; límite*1 = al). Intercambio de caracteres Newline por pestañas horizontales en continuaciones de encabezado.
Cuando el WAF y el marco analizan el mismo mensaje de manera diferente, la sección maliciosa se desliza.
Los investigadores validaron 1,207 desvíos únicos en AWS WAF, Azure WAF, Google Cloud Armor, Cloudflare WAF y ModSecurity, lo que confirma que cada modelo de análisis convencional podría ser engañado en al menos una configuración.
Major Bypass de WAF
En esta prueba de concepto reducida, el analizador de Cloudflare se detiene en el primer límite falso, solo ve datos inofensivos y reenvía la solicitud.
Flask, sin embargo, honra la continuación de los parámetros RFC 2231, concatena el límite real y ejecuta obedientemente la carga útil XSS.
El estudio muestra que más del 90% de los sitios en vivo aceptan datos multipart/de forma cuando originalmente esperaban aplicaciones/X-www-form-urlencoded, lo que significa que la gran mayoría de las formas de producción están trivialmente expuestas a las derivaciones multiparte de Waffled.
Google clasificó el problema como un nivel 1, vulnerabilidad de la prioridad 1 y pagó una recompensa de errores; Cloudflare, Microsoft y la comunidad ModSecurity también reconocieron el defecto y están implementando soluciones.
El analizador más estricto de AWS Waf escapó ileso de la suite de prueba, lo que subraya que el cumplimiento meticuloso de la RFC es una defensa efectiva, si el rendimiento intensiva.
Estrategias de mitigación
Los autores liberado HTTP-Normalizer, un proxy de código abierto que vuelve a hacer los mensajes entrantes con una gramática en la que los estados inválidos no son representables, y luego reserializa una forma canónica.
Los ensayos tempranos muestran que rechazó o desinfectó el 100% de las entradas de gofres muestreadas con sobrecarga insignificante. Las organizaciones que no pueden implementar un proxy adicional aún pueden afectar el ataque de:
Actualización a los últimos conjuntos de reglas administrados (Azure DRS 2.1, ModSecurity CRS 3.3). Deshabilitar los tipos de contenido exótico a menos que se requiera explícitamente. Hacer cumplir verificaciones estrictas de tipo contenido, longitud de contenido y codificación de transferencia tanto en el WAF como en la capa de aplicación.
Waffled recuerda a los defensores que los dispositivos de seguridad no solo deben mirar cada byte, sino también estar de acuerdo en lo que significa cada byte. RFC-True, la lógica de análisis apretado sigue siendo la defensa más confiable contra esta nueva clase de tácticas de evasión.
Aumentar la detección, reducir la fatiga de alerta, acelerar la respuesta; Todo con una caja de arena interactiva construida para equipos de seguridad -> Prueba cualquiera.
