Black Hat Asia 2022 : 7 solutions WAF contournées par des chercheurs en sécurité

Lors de l'événement Black Hat Asia 2022, des chercheurs en sécurité chinois sont parvenus à contourner les protections de plusieurs fournisseurs de solutions WAF très populaires. Faisons le point.

Pour rappel, un WAF pour Web Application Firewall est un pare-feu applicatif web qui va surveiller les flux à destination d'une application web dans le but de bloquer les tentatives d'attaques. Par exemple, un WAF va bloquer les requêtes malveillantes comme les injections SQL (appelées SQLi) et les attaques XSS (cross-site-scripting) à destination d'un site web.

Les chercheurs en sécurité sont parvenus à contourner 7 solutions WAF du marché, en l'occurrence ici des WAF-as-a-service, et les noms que je vais vous donner vont probablement vous parler : AWS (Cloud Amazon), F5, CSC, Fortinet, Cloudflare, Wallarm et la solution open source ModSecurity destinée aux serveurs Apache.

Ils ont pris l'attaque SQLi comme cas représentatif et ils ont conçu AutoSpear dans le but de contourner et inspecter automatiquement les WAF existants dans la nature. L'outil de test AutoSpear, par l'intermédiaire d'un algorithme, est capable de générer de nombreuses charges dans le but de trouver une requête capable de contourner le mécanisme de protection WAF.

Les résultats publiés montrent que les WAF sont vulnérables à l'outil AutoSpear utilisé par les chercheurs en sécurité à l'origine de ces travaux, à savoir Zhenqing Qu, Xiang Ling et Chunming Wu. En effet, on constate que AutoSpear atteint un taux de réussite sur ses attaques de plus de 89% contre les WAF d'AWS. Comme le montre le tableau ci-dessous, le taux de réussite sur 100 requêtes (avec des requêtes soumises selon différentes méthodes) est plus ou moins important selon les fournisseurs de WAF :

La bonne nouvelle, c'est que les 7 fournisseurs de WAF sont sur le coup pour corriger cette vulnérabilité potentielle ! Vous pouvez retrouver des informations supplémentaires sur les travaux réalisés sur cette page : Black Hat Asia 2022.

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian Burnel

Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

florian has 3946 posts and counting.See all posts by florian

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.

 

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.