Home » News » Cybersecurity » Web Application Firewalls (WAFs) mit Sicherheitslücken

Web Application Firewalls (WAFs) mit Sicherheitslücken

WAFs werden zunehmend auch zum Schutz von Cloud-basierten Management-Plattformen eingesetzt, die angeschlossene Geräte wie Router und Access Points überwachen. Angreifer, die in der Lage sind, die Funktionen zum Scannen und Blockieren des Datenverkehrs von WAFs zu umgehen, haben auf diese Weise oft einen direkten Zugang zu sensiblen Geschäfts- und Kundendaten.

2 Min. Lesezeit
©AdobeStock/metamorworks

Web Application Firewalls (WAF) sollen webbasierte Anwendungen und APIs vor bösartigem externen HTTP-Datenverkehr schützen, insbesondere vor Cross-Site-Scripting- und SQL-Injection-Angriffen. Diese sind zwar bekannt und relativ einfach zu beheben, stellen jedoch nach wie vor eine Bedrohung dar und schaffen es so immer wieder in die OWASP Top 10 der bedeutendsten Schwachstellen.

WAFs werden zunehmend auch zum Schutz von Cloud-basierten Management-Plattformen eingesetzt, die angeschlossene Geräte wie Router und Access Points überwachen. Angreifer, die in der Lage sind, die Funktionen zum Scannen und Blockieren des Datenverkehrs von WAFs zu umgehen, haben auf diese Weise oft einen direkten Zugang zu sensiblen Geschäfts- und Kundendaten. WAF-Umgehungen sind allerdings relativ selten und zielen in aller Regel auf die Implementierung eines bestimmten Anbieters ab.

Im aktuellen Fall haben Sicherheitsforscher von Team82, der Forschungsabteilung des Spezialisten für die Sicherheit von cyber-physischen Systemen Claroty, die Möglichkeit einer grundlegenden Umgehung von branchenführenden Web Application Firewalls (WAF) identifiziert. Bei der Angriffstechnik wird die JSON-Syntax an SQL-Injection-Payloads angehängt. JSON ist ein standardisiertes Datei- und Datenaustauschformat, das häufig verwendet wird, wenn Daten von einem Server an eine Webanwendung gesendet werden. Obwohl die meisten Datenbank-Engines JSON seit einem Jahrzehnt unterstützen, haben zahlreiche WAF-Anbieter keine JSON-Unterstützung in ihre Produkte integriert. Entsprechend ist die WAF für Angriffe blind, bei denen JSON der SQL-Syntax vorangestellt wird. Die Methode funktionierte bei WAFs von fünf führenden Anbietern: Palo Alto Networks, Amazon Web Services, Cloudflare, F5 und Imperva. Alle betroffenen Anbieter haben die Offenlegung von Team82 bestätigt und Fehlerbehebungen implementiert, welche die SQL-Prüfprozesse ihrer Produkte um Unterstützung für JSON-Syntax erweitern. Gleichwohl besteht die Gefahr, dass die Technik bei anderen WAFs eine ernste Schwachstelle darstellt, mittels derer Angreifer Zugang zu sensiblen Geschäfts- und Kundendaten erhalten können.

Deshalb sollte dort dringend eine Überprüfung der JSON-Unterstützung durchgeführt werden. Dies ist umso wichtiger, da immer mehr Unternehmen ihre Prozesse in die Cloud verlagern. WAFs sollen zusätzliche Sicherheit aus der Cloud bieten. Sind Angreifer jedoch in der Lage, diese Schutzmechanismen zu umgehen, haben sie weitreichenden Zugang zu den Systemen. Mit der neuartigen Technik können Angreifer auf eine Backend-Datenbank zugreifen und zusätzliche Schwachstellen und Exploits nutzen, um Informationen entweder über direkten Zugriff auf den Server oder über die Cloud zu exfiltrieren. Dies ist besonders wichtig für OT- und IoT-Plattformen, die auf cloudbasierte Verwaltungs- und Überwachungssysteme umgestiegen sind. Unternehmen sollten aus diesem Grund sicherstellen, dass sie aktuelle Versionen von Sicherheitstools einsetzen, um diese Umgehungsversuche zu blockieren.

Andere interessante News

Auge im Software-Universum

Studie: Öffentliche Organisationen in Sachen Softwaresicherheit im Rückstand

Eine aktuelle Studie verdeutlicht, dass öffentliche Organisationen im Vergleich zur Privatwirtschaft bei der Sicherheit ihrer Softwareanwendungen hinterherhinken. So weisen 82 Prozent der Softwareanwendungen im öffentlichen Sektor Sicherheitslücken auf. Dennoch schneiden öffentliche Organisationen in einigen Bereichen besser ab als private Unternehmen.

Datendiebstahl

Sicherheitslücke bei AOKs: Datendiebstahl bedroht Sozialdaten von Versicherten

Mehrere AOKs sind von einer Sicherheitslücke in einer weitverbreiteten Software zur Datenübertragung betroffen, die sowohl inländische als auch ausländische Unternehmen einsetzen. Diese Lücke ermöglichte es unbefugten Personen, auf die Anwendung "MOVEit Transfer" zuzugreifen, die von den AOKs für den Austausch von Daten mit Unternehmen, Leistungserbringern und der Bundesagentur für Arbeit verwendet wird.

Sichere IT

Wie BSI und Verbände die kommunale IT sicherer machen wollen

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) erprobt seit Mai gemeinsam mit sechs deutschen Modellkommunen das Pilotprojekt "Weg in die Basis-Absicherung" (WiBA). Die Kommunen wurden aus über 130 Bewerbungen ausgewählt und repräsentieren verschiedene Größen und Typen, darunter Balgheim, Rees, Markkleeberg, Schwerin und Regen.