Esta semana en ciberseguridad – Mayo 2022

Evita el WAF transformando las consultas SQL

Un equipo de investigadores utilizó el aprendizaje automático básico para generar solicitudes HTTP e identificar patrones que los firewalls comunes de aplicaciones web (WAFs) no detectan como malicioso, pero que permiten a un atacante pasar la seguridad proporcionada por estos.

Los investigadores de la Universidad de Zhejiang en China comenzaron con formas comunes de transformar los ataques de inyección para apuntar a las bases de datos de aplicaciones web utilizando el lenguaje de consulta estructurado (SQL) común. En lugar de utilizar una búsqueda de fuerza bruta de posibles derivaciones, el equipo creó una herramienta, AutoSpear, que utiliza un grupo de posibles derivaciones que se pueden combinar utilizando una estrategia de mutación ponderada y luego probar para determinar la efectividad de los desvíos para evadir la seguridad de ofertas de WAF como servicio.

La herramienta se omitió con éxito — medido por una tasa de falsos negativos — los siete WAF probados basados en la nube con una variedad de éxitos, desde un mínimo del 3% para ModSecurity hasta un máximo del 63% para los WAF de Amazon Web Services y Cloudflare, dijo Zhenqing Qu, un estudiante graduado de la Universidad de Zhejiang y miembro del equipo AutoSpear.

“Los estudios de caso han demostrado el potencial [de la herramienta], porque las firmas de detección no eran sólidas debido a varias vulnerabilidades”… “Simplemente agregar comentarios o espacios en blanco puede omitir algunos WAF, pero la mutación más efectiva depende de WAF específicos”.”

dijo Zhenqing Qu

Los firewalls de aplicaciones web AWS, Fortinet, F5 y CSC se implementaron utilizando los conjuntos de reglas administrados proporcionados por esos proveedores en la plataforma WAF de Amazon Web Services, mientras que los WAF de Cloudflare y Wallarm se compraron en el sitio web oficial de esas compañías, dijo Zhenqing. En muchos casos, el WAF independiente de un proveedor, como FortiWeb y FortiWeb Cloud de Fortinet, no se ve afectado por los mismos problemas que los conjuntos de reglas de WAF.

Los firewalls de aplicaciones web son una forma común de defender importantes programas en la nube y servicios web del ataque, filtrando ataques de aplicaciones comunes e intentos de inyectar comandos de bases de datos, también conocidos como inyección SQL (SQLi). Un estudio de 2020, por ejemplo, encontró que 4 de cada 10 profesionales de seguridad creían eso 50% de los ataques de capa de aplicación que apuntó a su aplicación en la nube omitió su WAF. Otros ataques se centran en comprometiendo a la WAF a través de su inspección del tráfico.

En su presentación, el equipo de la Universidad de Zhejiang se centró en formas de transformar las solicitudes utilizando 10 técnicas diferentes para los cuatro métodos de solicitud comunes: solicitudes POST y GET, ya sea utilizando la codificación JSON o no.

Los investigadores encontraron que los cuatro tipos diferentes de solicitudes fueron tratadas de la misma manera por conjuntos de reglas proporcionados por cuatro proveedores diferentes de WAF, mientras que otros abordaron las entradas de manera diferente.

Los ataques de inyección SQL siguen siendo un riesgo importante para muchas empresas. Los riesgos de seguridad web Top-10 de OWASP calificaron la clase de vulnerabilidad de inyección en la parte superior de su lista de riesgos en 2013 y 2017, y como el no. 3 riesgo en 2021. La lista, publicada aproximadamente cada cuatro años, utiliza más de 400 clases amplias de debilidades para determinar las amenazas más significativas para las aplicaciones web.

Omitir los firewalls de aplicaciones web generalmente se centran en tres enfoques generales. A nivel arquitectónico, los atacantes pueden encontrar formas de eludir el WAF y acceder directamente al servidor de origen. A nivel de protocolo, una variedad de técnicas pueden usar errores en la codificación, como HTTP request smuggling, para evitar los WAF. Finalmente, a nivel de payload, los atacantes pueden usar una variedad de transformación de codificación para engañar al WAF para que no detecte un ataque, mientras aún producen una solicitud válida desde el punto de vista del servidor de la base de datos.

Las transformaciones permitieron que los ataques fueran exitosos desde el 9% del tiempo hasta casi el 100% del tiempo, dependiendo del conjunto de reglas WAF y el formato de solicitud, declaró el equipo en su presentación. En un caso, el investigador descubrió que solo agregar un carácter de nueva línea, “/n”, omitía un WAF importante como servicio.

AWS, Cloudflare Afectado
El equipo de investigación informó las vulnerabilidades a los siete proveedores de WAF y conjuntos de reglas WAF: AWS, Cloudflare, CSC, F5, Fortinet, ModSecurity y Wallarm. Cloudflare, F5 y Wallarm han solucionado sus problemas, dijo Zhenqing. El equipo también proporcionó a los proveedores patrones de derivación que se pueden usar para detectar los tipos más comunes de transformaciones.

“Los otros cuatro todavía están trabajando con nosotros, ya que los defectos no se pueden reparar fácilmente”, dijo.

FUENTE: https://www.darkreading.com/cloud/transforming-sql-queries-bypasses-waf-security

DoQ: DNS a través QUIC

La privacidad es uno de los factores más importantes cuando navegamos por Internet. Simplemente con visitar una web estamos dejando algún rastro, pero hay protocolos y servicios que pueden ayudarnos a evitar este problema.

DNS a través de QUIC
El protocolo DNS fundamental traduce la información que ponemos en el navegador, así simplemente con poner el nombre del dominio nos deriva a la dirección IP correspondiente, por lo que no vamos a tener que recordar números sin mucho sentido. Sin embargo este protocolo, por sí mismo, no es fiable y no mantiene la privacidad. Hay opciones como DoH (DNS a través de HTTPS) o DoT (DNS a través de TLS) que cifran la conexión.

Algo así ocurre con QUIC, que es un protocolo de red creado por Google. Podemos decir que funciona de forma parecida a HTTP/2 y TLS/SSL, pero en vez de usar TCP se basa en UDP. De esta forma surge DoQ, que es DNS a través de QUIC.

Funciona de forma similar a DoT, por lo que mantiene la privacidad, pero utiliza QUIC Y DoH3, es decir, DNS a través de HTTP/3, lo que lo hace más veloz, evitando el intercambio de claves que usa el cifrado TLS y que va a ralentizar la conexión.

Además, DNS a través de QUIC o DoQ, también va a ser más seguro ya que corrige uno de los problemas principales de TCP, que es el envío del encabezado de los paquetes en texto plano, algo que puede quedarlo expuesto y que pueda leerse sin autenticación.

En definitiva, DNS va a poder funcionar a través del protocolo QUIC. Esto va a ayudar a mantener la privacidad al navegar por Internet, algo imprescindible hoy en día, pero sin tener ciertos problemas de velocidad y latencia que tienen otros protocolos similares. Por tanto, mantendremos la conexión cifrada y evitaremos que un tercero pueda interceptar lo que enviamos, pero al mismo tiempo manteniendo un funcionamiento óptimo de la conexión.

En este link https://www.rfc-editor.org/rfc/rfc9250.html se pueden ver todas las especificaciones de este protocolo.

FUENTE: https://blog.segu-info.com.ar/2022/05/dns-traves-de-quic.html

Malware (SuspSQLUsage) dirigido a SQL Server

Microsoft detectó una campaña maliciosa dirigida a servidores SQL que aprovecha un binario integrado de PowerShell para lograr la persistencia en los sistemas comprometidos.

Las intrusiones, que aprovechan los ataques de fuerza bruta como vector de compromiso inicial, se destacan por el uso de la utilidad “sqlps.exe“. Se desconocen los objetivos finales de la campaña, al igual que la identidad del actor de amenazas que la organiza. Microsoft está rastreando el malware con el nombre “SuspSQLUsage“.

La utilidad “sqlps.exe”, que viene de forma predeterminada con todas las versiones de SQL Server, permite que un Agente SQL, un servicio de Windows para ejecutar tareas programadas, ejecute trabajos utilizando el subsistema PowerShell.

“Los atacantes logran una persistencia sin archivos al generar la utilidad sqlps.exe, un contenedor de PowerShell para ejecutar cmdlets construidos en SQL, para ejecutar comandos de reconocimiento y cambiar el modo de inicio del servicio SQL a LocalSystem”.

señaló Microsoft.

Además, también se ha observado que los atacantes usan el mismo módulo para crear una nueva cuenta con la función de administrador del sistema, lo que les permite tomar el control de SQL Server.

Esta no es la primera vez que los actores de amenazas aprovechan binarios legítimos que ya están presentes en un entorno, una técnica llamada living-off-the-land (LotL), para lograr sus objetivos.

Una ventaja que ofrecen tales ataques es que tienden a no tener archivos porque no dejan ninguno (fileless) y es menos probable que las actividades sean marcadas por el software antivirus debido a que utilizan un software confiable.

La idea es permitir que el atacante se mezcle con la actividad normal de la red y las tareas administrativas normales, mientras permanece oculto durante largos períodos de tiempo.

“El uso de este binario poco común del tipo living-off-the-land (LOLBin) destaca la importancia de obtener una visibilidad completa del comportamiento en tiempo de ejecución de los scripts para exponer el código malicioso”, dijo Microsoft.

FUENTE: https://thehackernews.com/2022/05/hackers-gain-fileless-persistence-on.html