La vulnérabilité découverte par les équipes de Sysdig dans le Web Application Firewall d’AWS rappelle que ces systèmes restent facilement contournables et doivent donc faire l’objet d’une attention toute particulière.
Les WAF encore épinglés avec une faille zero day. Les équipes de recherche de Sysdig ont découvert des techniques permettant de contourner le Web Application Firewalls (WAF) d'AWS en utilisant un événement DOM spécialisé pour contourner les règles de filtrage. D’après l’éditeur open source de découverte et de gestion des vulnérabilités, cette vulnérabilité aurait pu permettre à des attaquants d'injecter des scripts malveillants dans des applications pour compromettre les données sensibles de l'utilisateur et l'intégrité du système. Il faut noter que les tentatives de Sysdig pour reproduire la faille sur les solutions F5 et ModSecurity sont restées infructueuses. Alertées fin octobre au sujet de cette vulnérabilité, les équipes d’AWS l’ont patché en décembre dernier.
Les Web Application Firewalls (WAF) constituent aujourd’hui la première ligne de défense des applications web, en agissant comme un filtre entre celles-ci et le trafic entrant via un système de règles capable de bloquer un large panel d’attaques. Bien qu'AWS et les autres fournisseurs de WAF proposent des règles prêtes à l'emploi, cette nouvelle faille vient rappeler que ces règles ne sont pas une solution miracle. En général, un réglage fin est nécessaire pour les rendre suffisamment puissantes pour empêcher les attaques qui abusent de mécanismes d'encodage spécifiques. En octobre dernier, AWS, Cloudflare et Google avaient déployé en urgence un patch pour corriger une vulnérabilité qui permettait d’utiliser leur WAF pour générer des attaques DDoS à plus de 400 millions de requêtes par seconde. Car non content d'être des cibles, les firewalls applicatifs font également de très bon vecteurs pour les attaques.
“ Comme la plupart des solutions de cybersécurité, le WAF n’est pas une solution que l’on peut déployer et laisser opérer seule dans son coin. D’abord, il est évident que les règles préétablies doivent à minima être étudiées voire modifiées pour coller idéalement au profils des applications qui se trouvent derrière ”, explique Giacomo Saliola, Offensive Security Researcher chez Sysdig. La technique employée par Sysdig afin de trouver la faille du WAF d’AWS, à savoir un fuzzing automatique du firewall jusqu’à trouver un schéma d'interaction qui ne soit pas gérée par celui-ci, est par ailleurs très simple à mettre en place. “ Il existe évidemment encore des schémas qui n’ont pas été testés et les acteurs malveillants, tout comme les équipes de recherches, continueront d’en découvrir à l’avenir “, ajoute le chercheur.
Face à cette faiblesse, les WAF doivent donc évidemment être complétés par d’autres solutions d’analyse et de monitoring du trafic pour assurer une sécurité applicative optimale. Dans le cadre des firewall applicatif gérée par les fournisseurs de cloud, les faiblesses sont évidemment rapidement corrigées, mais dans le cadre de système géré en interne, une veille constante doit être assurée rappelle Giacomo Saliola.