A Ethiack, empresa portuguesa que atua no domínio da cibersegurança ofensiva e teste de ativos digitais na internet, identificou uma nova vulnerabilidade presente na maioria das firewalls de aplicações web (WAF).
Analisadas 12 firewalls de aplicações web (WAF)
Em concreto, estas firewalls podem ser contornadas usando técnicas de cibersegurança ofensiva em contextos pouco explorados. Em linguagem simples: ao repetir o mesmo “campo” num link ou formulário, é possível enganar sistemas de proteção e introduzir código JavaScript malicioso no navegador do utilizador, acabando por deixar atacantes mal intencionados roubar informações pessoais das suas vítimas.
Num conjunto de testes realizados às 12 WAFs mais usadas pela comunidade de ciberseguraça, a Ethiack verificou que apenas 3 delas conseguiram travar de forma consistente os 3 cenários de ataque criados manualmente pelos investigadores.
Usando um método mais elaborado com base na técnica criada para o efeito, a taxa de sucesso a contornar as defesas subiu para 71%, o que demonstra que a maioria das configurações pode ser vencida mesmo que corretamente ajustada.
Adicionalmente, os investigadores da Ethiack também alavancaram o seu “Hackbot” (uma tecnologia de última geração que faz uso intensivo de Inteligência Artificial para detetar e explorar vulnerabilidades) para descobrir problemas semelhantes em mais 2 WAFs que resistiram aos testes humanos subindo a taxa de sucesso do estudo para 94%.
“As WAFs são importantes, mas não fazem milagres por si só. Pequenas diferenças entre a leitura dos pedidos na aplicação e nas WAFs podem escapar aos padrões de bloqueio e abrir portas a ataques.
A boa notícia é que testes contínuos reduzem muito este risco pois é possível detetar este tipo de problemas o mais cedo possível no ciclo de vida da aplicação ou website”, explica Bruno Mendes, Head of Hacking da Ethiack e autor do estudo.
Como foi feito o estudo pela Ethiack?
Os investigadores da Ethiack desenvolveram manualmente três tipos de casos de teste de injeção de JavaScript, usando uma técnica conhecida como poluição de parâmetros (repetir o mesmo parâmetro várias vezes), que se revelou especialmente eficaz porque muitas WAFs analisam cada parâmetro isoladamente e não têm em conta o efeito combinado no lado da aplicação. Nos testes mais simples sem esta técnica, a taxa de sucesso foi de 17,6%. No cenário mais avançado, subiu para 70,6%.
Além dos testes manuais, a Ethiack utilizou também o seu “Hackbot” para explorar variações que poderiam escapar até aos olhares mais atentos, visto que o processo de pesquisa é moroso e, por isso, há detalhes que podem ser facilmente negligenciados. O resultado permitiu concluir que o “Hackbot” descobriu formas adicionais de contornar outras duas WAFs que inicialmente resistiram aos testes manuais , mostrando a importância de combinar perícia humana com automação. Apenas uma configuração específica entre as 17 testadas, não permitiu qualquer bypass.
Porque é que isto interessa às empresas
Em termos simples, o risco é real. Esta análise da Ethiack comprovou que foram suficientes pequenas variações num pedido para contornar uma WAF e que este tipo de validação não pode ser pontual, nem deixado ao acaso e que exige testes contínuos por ser a única forma de detetar falhas antes de serem exploradas por atores maliciosos. Como fica demonstrado, só os testes contínuos permitem às organizações anteciparem-se a possíveis ataques.
Para Bruno Mendes, “as WAFs continuam a ser importantes e vão continuar a existir. São vistas como uma barreira à entrada dos atacantes, mas não substituem código seguro, nem testes contínuos. Com ferramentas como as da Ethiack, as equipas de TI conseguem detetar rapidamente vulnerabilidades reais, priorizá-las e remediá-las de forma contínua, antes de serem exploradas por atores maliciosos.”
Notas adicionais
