Контакты
Подписка 2025
ТБ Форум 2025
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля | ТБ Форум 2025
Регистрируйтесь и приходите!

Брандмауэры Imperva могут быть использованы для SQL-инъекций и XSS-атак

02/04/24

imperva-alerts-customers-about-security-incident-showcase_image-2-a-12990

В популярном брандмауэре веб-приложений (WAF) Imperva SecureSphere выявлена серьезная уязвимость. Проблеме присвоен идентификатор CVE-2023-50969. Она имеет максимальный уровень риска — CVSS 9.8 из 10, и позволяет злоумышленникам обходить защитные правила, призванные предотвращать веб-атаки вроде SQL-инъекций и межсайтового выполнения сценариев, пишет Securitylab.

Исследователь HoyaHaxa раскрыл технические подробности проблемы, продемонстрировав потенциальный сценарий ее эксплуатации.

Злоумышленники могут обойти защиту WAF манипулируя заголовками «Content-Encoding» в HTTP-запросах. Для этого достаточно отправить специально закодированные POST-данные — в результате атакующие получат доступ к уязвимостям в тех самых приложениях, которые брандмауэр должен защищать.

Представим, что защищаемое приложение содержит уязвимый код — например, небезопасную PHP-веб-оболочку clam.php, которая выполняет любые системные команды, переданные через POST-параметр cmd. Обычно опасные команды наподобие cat /etc/passwd блокируются стандартными правилами WAF.

Хакер может обойти блокирующее правило WAF, отправив HTTP-запрос с двумя (или более) специально сформированными заголовками. Заголовок Content-Encoding указывает, каким способом закодировано тело HTTP-сообщения. Допустимые значения — br, compress, deflate и gzip. В этом случае достаточно добавить один заголовок Content-Encoding с произвольным значением, а затем второй заголовок Content-Encoding: gzip.

Кроме того, нарушить работу правил WAF можно, использовав дополнительный заголовок Content-Encoding с последующим Content-Encoding: deflate.

CVE-2023-50969 затрагивает версию Imperva SecureSphere WAF 14.7.0.40 и любые другие версии без обновления Application Defense Center (ADC), выпущенного 26 февраля 2024 года. Клиенты облачного WAF Imperva Cloud не подвержены этой уязвимости.

Организациям, использующим Imperva SecureSphere, настоятельно рекомендуют установить обновление ADC от 26 февраля и провести тщательный аудит своих приложений на предмет других известных уязвимостей.

Темы:УгрозымаршрутизаторыImperva
Безопасная разработка
Подходы и инструменты управления процессом разработки безопасного программного обеспечения
Регистрируйтесь и приходите! 13 февраля 2025
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Актуальные вопросы защиты информации
12 февраля 2025 | Организатор: ФСТЭК России

Еще темы...

More...