Home » News » Cybersecurity » Web Application Firewalls (WAFs) mit Sicherheitslücken

Web Application Firewalls (WAFs) mit Sicherheitslücken

WAFs werden zunehmend auch zum Schutz von Cloud-basierten Management-Plattformen eingesetzt, die angeschlossene Geräte wie Router und Access Points überwachen. Angreifer, die in der Lage sind, die Funktionen zum Scannen und Blockieren des Datenverkehrs von WAFs zu umgehen, haben auf diese Weise oft einen direkten Zugang zu sensiblen Geschäfts- und Kundendaten.

2 Min. Lesezeit
©AdobeStock/metamorworks

Web Application Firewalls (WAF) sollen webbasierte Anwendungen und APIs vor bösartigem externen HTTP-Datenverkehr schützen, insbesondere vor Cross-Site-Scripting- und SQL-Injection-Angriffen. Diese sind zwar bekannt und relativ einfach zu beheben, stellen jedoch nach wie vor eine Bedrohung dar und schaffen es so immer wieder in die OWASP Top 10 der bedeutendsten Schwachstellen.

WAFs werden zunehmend auch zum Schutz von Cloud-basierten Management-Plattformen eingesetzt, die angeschlossene Geräte wie Router und Access Points überwachen. Angreifer, die in der Lage sind, die Funktionen zum Scannen und Blockieren des Datenverkehrs von WAFs zu umgehen, haben auf diese Weise oft einen direkten Zugang zu sensiblen Geschäfts- und Kundendaten. WAF-Umgehungen sind allerdings relativ selten und zielen in aller Regel auf die Implementierung eines bestimmten Anbieters ab.

Im aktuellen Fall haben Sicherheitsforscher von Team82, der Forschungsabteilung des Spezialisten für die Sicherheit von cyber-physischen Systemen Claroty, die Möglichkeit einer grundlegenden Umgehung von branchenführenden Web Application Firewalls (WAF) identifiziert. Bei der Angriffstechnik wird die JSON-Syntax an SQL-Injection-Payloads angehängt. JSON ist ein standardisiertes Datei- und Datenaustauschformat, das häufig verwendet wird, wenn Daten von einem Server an eine Webanwendung gesendet werden. Obwohl die meisten Datenbank-Engines JSON seit einem Jahrzehnt unterstützen, haben zahlreiche WAF-Anbieter keine JSON-Unterstützung in ihre Produkte integriert. Entsprechend ist die WAF für Angriffe blind, bei denen JSON der SQL-Syntax vorangestellt wird. Die Methode funktionierte bei WAFs von fünf führenden Anbietern: Palo Alto Networks, Amazon Web Services, Cloudflare, F5 und Imperva. Alle betroffenen Anbieter haben die Offenlegung von Team82 bestätigt und Fehlerbehebungen implementiert, welche die SQL-Prüfprozesse ihrer Produkte um Unterstützung für JSON-Syntax erweitern. Gleichwohl besteht die Gefahr, dass die Technik bei anderen WAFs eine ernste Schwachstelle darstellt, mittels derer Angreifer Zugang zu sensiblen Geschäfts- und Kundendaten erhalten können.

Deshalb sollte dort dringend eine Überprüfung der JSON-Unterstützung durchgeführt werden. Dies ist umso wichtiger, da immer mehr Unternehmen ihre Prozesse in die Cloud verlagern. WAFs sollen zusätzliche Sicherheit aus der Cloud bieten. Sind Angreifer jedoch in der Lage, diese Schutzmechanismen zu umgehen, haben sie weitreichenden Zugang zu den Systemen. Mit der neuartigen Technik können Angreifer auf eine Backend-Datenbank zugreifen und zusätzliche Schwachstellen und Exploits nutzen, um Informationen entweder über direkten Zugriff auf den Server oder über die Cloud zu exfiltrieren. Dies ist besonders wichtig für OT- und IoT-Plattformen, die auf cloudbasierte Verwaltungs- und Überwachungssysteme umgestiegen sind. Unternehmen sollten aus diesem Grund sicherstellen, dass sie aktuelle Versionen von Sicherheitstools einsetzen, um diese Umgehungsversuche zu blockieren.

Andere interessante News

Nancy Faeser beruft Claudia Plattner zur neuen BSI-Präsidentin

Zum ersten Mal wird eine Frau als Präsidentin einer Sicherheitsbehörde im Bereich des Bundesinnenministeriums. Wegen ihrer IT-Sicherheitsexpertise und ihrer Managementerfahrung in der Europäischen Zentralbank (EZB) will Bundesinnenministerin Nancy Faeser die derzeitige Generaldirektorin für Informationssysteme der EZB, Claudia Plattner, als neue Präsidentin des Bundesamts für die Sicherheit in der Informationstechnik (BSI) berufen.

Container-Images weisen oft hochriskante Schwachstellen auf

Supply Chain-Risiken und die Bereitschaft zur Implementierung einer Zero Trust-Architektur sind die größten ungelösten Sicherheitsprobleme in Cloud- und Container-Umgebungen. In Cloud-Umgebungen ist außerdem eine massive Geldverschwendung an der Tagesordnung: Durch übermäßig zugewiesene Kapazitäten wachsen die Ausgaben hier unnötig in zweistelliger Millionenhöhe.

Wie Cyberkriminelle ChatGPT für sich nutzen

Allgemein zugängliche KI-Tools (Künstliche Intelligenz) wirkten bislang oft noch eher unbeholfen. Mit dem OpenAI ChatGPT Chatbot scheint sich das gerade zu ändern. Die Qualität der damit erzeugten Texte erstaunt die gesamte Internet-Community. Das weckt auch bei Cyberkriminellen Begehrlichkeiten. Die Kombi aus freier Zugänglichkeit solcher Tools und krimineller Energie stellt die Cybersicherheit vor völlig neue Herausforderungen.