Breaking WAF: Falha de configuração atinge serviços de WAF

Pesquisadores da Zafran identificaram uma falha de configuração que pode afetar a arquitetura completa de proteção em aplicações web, incluindo serviços populares de firewall para aplicações web (WAF) como Akamai, Cloudflare e Imperva. Essa configuração inadequada ocorre quando os servidores de backend não estão configurados para aceitar conexões exclusivamente do WAF, o que permite que cibercriminosos contornem as proteções e realizem ataques diretos a aplicações web.

Segundo estimativas da Zafran, os fornecedores de WAF afetados são responsáveis por 90% das aplicações web protegidas em todo o mundo, e ao menos 40% de todas as empresas do Fortune 100, incluindo gigantes como JP Morgan, UnitedHealth, Visa e Intel, são atingidas diretamente pelo problema.

Ataques baseados nessa falha incluem negação de serviço (DDoS), ataques de ransomware e acesso não autorizado a dados sensíveis, podendo levar a significativas perdas financeiras e de reputação para suas vítimas.

O que fazer?
Para prevenir ataques que explorem configurações inadequadas, é crucial garantir que a arquitetura completa esteja projetada corretamente. Isso inclui proteger os servidores de backend configurando-os para aceitar conexões apenas de fontes legítimas, como os endereços IP do WAF, e implementar controles adicionais que aumentem a eficácia do firewall de aplicações web (WAF).

Um WAF bem configurado, aliado a uma arquitetura segura, oferece uma camada robusta de proteção contra as ameaças mais avançadas. A Zafran forneceu recomendações específicas para restringir o acesso a conexões legítimas através de um ou mais métodos, incluindo:

  1. Listas de permissão de IP (IP Whitelisting): Configure os servidores de origem para aceitar apenas conexões provenientes dos endereços IP dos provedores de CDN. Embora seja uma solução simples, não é totalmente segura, pois atacantes experientes podem contornar essa proteção.
  2. Validação de requisições em cabeçalhos HTTP: Configure os servidores de origem para aceitar conexões apenas de solicitações que incluam um código secreto previamente definido. Esse código é enviado nos cabeçalhos HTTP de cada requisição, funcionando como uma senha de validação. Embora essa abordagem seja relativamente segura no curto prazo, exige a renovação periódica desse código para evitar que seja descoberto e explorado por invasores.
  3. Certificados de cliente (mTLS): Utilize autenticação mútua baseada em certificados (mTLS), em que tanto o servidor quanto o cliente (CDN) validam certificados autenticados. Apesar de ser a solução mais segura, pode exigir ferramentas personalizadas, já que muitos balanceadores de carga populares não suportam mTLS.

Além disso, também é importante seguir as melhores práticas e recomendações oferecidas pelo seu respectivo provedor de CDN para garantir a proteção dos servidores de origem.

Recomendações da Cloudflare: https://developers.cloudflare.com/fundamentals/basic-tasks/protect-your-origin-server/
Recomendações da Akamai: https://techdocs.akamai.com/origin-ip-acl/docs/welcome
Report original da Zafran: https://www.zafran.io/resources/breaking-waf

Os WAFs continuam sendo uma das principais ferramentas de defesa para proteger aplicações web contra ataques, incluindo tentativas de exploração de vulnerabilidades como esta. Mesmo em cenários em que a arquitetura completa apresenta configurações inadequadas, os WAFs são fundamentais na redução do impacto de ataques e na criação de barreiras contra ameaças, salvando organizações de terem seus ambientes hackeados. Caso a companhia não possua WAF, é essencial implementar uma solução confiável e configurá-la de acordo com as melhores práticas.

A SEK continuará acompanhando os desdobramentos desse e de outros casos, mantendo nossos clientes e parceiros informados sobre vulnerabilidades, ataques e os acontecimentos mais relevantes da cibersegurança. Estamos à disposição para ajudá-los no que for necessário.

Qualquer dúvida, estamos à disposição.

COMPARTILHE ESTE POST

WhatsApp
Facebook
LinkedIn
Twitter