Um novo método de ataque pode ser usado para contornar Firewalls de Aplicação Web de vários fornecedores e infiltrar-se em sistemas, permitindo potencialmente que invasores obtenham acesso a informações confidenciais dos clientes.

Os WAFs são uma linha de defesa fundamental para ajudar a filtrar, monitorar e bloquear o tráfego HTTP(S), e proteger contra ataques de cross-site-scripting (XSS), file inclusion, SQL injection (SQLi) e entre outros.

O bypass genérico “envolve anexar a sintaxe JSON a cargas úteis de injeção SQL que um WAF não consegue analisar”, disse o pesquisador Noam Moshe.

“A maioria dos WAFs detectará facilmente ataques SQLi, mas anexar JSON à sintaxe SQL fez com que o WAF deixasse para esses ataques.” Segundo a pesquisa, essa técnica funcionou com sucesso contra WAFs de fornecedores como Amazon Web Services (AWS), Cloudflare, F5, Imperva e Palo Alto Networks, que desde então lançaram atualizações para oferecer suporte à sintaxe JSON durante a inspeção de injeção SQL.

“O WAF é essencial nos dias de hoje para qualquer aplicação web, mas além disso, todo ambiente deve ser testado por profissionais de cibersegurança, através de um pentest, para certificar a segurança do ambiente e até mesmo do firewall”, comenta Andrew Martinez, CEO da HackerSec.

Os invasores que usam essa nova técnica podem acessar um banco de dados e usar vulnerabilidades e explorações adicionais para exfiltrar informações por meio de acesso direto ao servidor ou pela nuvem.