Bypass do Google WAF é possível usando POST superdimensionadas

Pesquisadores da consultoria de segurança Kloudle descobriram que conseguiram contornar os firewalls de aplicativos da Web do Google Cloud Platform (GCP) e Amazon Web Services (AWS) apenas fazendo uma solicitação POST com mais de 8 KB de tamanho.

“O comportamento padrão do Cloud Armor neste caso pode permitir que solicitações maliciosas ignorem o Cloud Armor e alcancem diretamente um aplicativo subjacente”, de acordo com Kloudle.

Os WAFs devem proteger contra ataques baseados na Web, incluindo SQL Injection e scripts entre sites – mesmo nos casos em que um aplicativo subjacente ainda é vulnerável.

Ignorar essa proteção levaria um invasor em potencial a um passo mais perto de atacar um aplicativo hospedado na Web, desde que um endpoint direcionado aceite solicitações HTTP POST “de uma maneira que possa desencadear uma vulnerabilidade subjacente”.

“Esse problema pode ser explorado criando uma solicitação HTTP POST com um tamanho de corpo que excede a limitação de tamanho de 8 KB do Cloud Armor, onde a carga aparece após o 8192º byte/caractere no corpo da solicitação”, explica Kloudle em uma postagem técnica no blog.

Sob a armadura

O Cloud Armor WAF do Google vem com um conjunto de regras de firewall pré-configuradas que se baseiam no OWASP ModSecurity Core Rule Set de código aberto.

Os usuários podem bloquear o possível vetor de ataque configurando uma regra personalizada do Cloud Armor para bloquear solicitações HTTP em que o corpo da solicitação é maior que 8.192 bytes – uma regra geral que pode ser ajustada para aceitar exceções definidas.

Embora o WAF da AWS tenha os mesmos problemas, Kloudle culpou o GCP por não destacar o problema para os clientes. Outros WAFs baseados em nuvem apresentam limitações semelhantes, disseram os pesquisadores.

Kloudle disse ao The Daily Swig: “Isso faz parte do trabalho em andamento… Alguns têm 8 KB e outros estendem-se a 128 KB.”

O Daily Swig convidou o Google e a AWS a comentar sobre a pesquisa de Kloudle e quais precauções de segurança seus clientes de nuvem gostariam de tomar como precaução. Atualizaremos esta história à medida que mais informações estiverem disponíveis.

Um representante da Kloudle simpatizou com as trocas de segurança e funcionalidade que os provedores de nuvem são obrigados a equilibrar, mas disse ao The Daily Swig que os provedores de nuvem deveriam fazer mais para educar os usuários sobre o problema.

“O software de segurança de perímetro é difícil. Suspeito que, neste caso, o limite de 8 KB permite que eles processem de maneira confiável outras regras WAF”, explicou o representante.

“Eles poderiam estar fazendo mais pela conscientização do desenvolvedor, incluindo adicionar essa regra por padrão com a opção de desabilitar caso alguém queira.

“De acordo com o modelo de responsabilidade de segurança compartilhada, eles colocam o ônus no usuário final de usar o serviço com segurança”, acrescentaram.

Fonte: https://portswigger.net/