Se a sua empresa não conta com uma defesa eficaz contra ataques zero-day, ela não está devidamente protegida na web. Um dos aspectos cruciais de um web application firewall (WAF) é sua capacidade de mitigar ameaças que exploram vulnerabilidades novas, conhecidas como “ataques zero-day”, muitas vezes desconhecidas até mesmo pelos desenvolvedores do software afetado.
Diferentemente de várias soluções — inclusive de fornecedores globais —, o Web Application Firewall da Azion se destaca por nunca ter sofrido um bypass (termo usado para indicar um ataque capaz de “contornar” a proteção do WAF) e, também, por ter protegido nossos clientes em meio a vulnerabilidades e ondas de ataques críticos, como nos casos enumerados a seguir.
1. Apache HTTP Server Exploit (CVE-2021-41773)
No dia 29 de setembro de 2021, a equipe de segurança do Apache descobriu uma vulnerabilidade (CVE 2021-41773) que invasores estavam explorando a fim de comprometer servidores web Apache e acessar arquivos confidenciais. Na prática, eles exploraram uma alteração do Apache HTTP Server 2.4.49 que propiciava um ataque conhecido como “path traversal”, pelos quais poderiam obter acesso a arquivos e diretórios armazenados fora da pasta raiz do servidor web.
A possibilidade de um atacante assumir o controle total do servidor por meio de execução remota de código ilustrava a gravidade da situação. Porém, nossos clientes já estavam protegidos contra essa ameaça zero-day, visto que o Web Application Firewall da Azion permite a ativação de conjuntos de regras específicas para Remote File Intrusions (RFI) e Directory Traversal, os quais recomendamos que estejam sempre habilitados e definidos com nível de sensibilidade “High”.
2. Claroty WAF bypass
Durante a conferência Black Hat Europe 2022, em Londres, a Team82, equipe de pesquisadores de segurança da Claroty, apresentou uma forma genérica de contornar os WAFs vendidos por vários fornecedores globais. Trata-se de uma técnica baseada em um ataque SQLi (SQL injection) que, na prática, usa sintaxe JSON — formato aberto e padronizado de arquivo para troca de dados — para tornar os comandos SQL invisíveis para algumas soluções de WAF.
Quando a descoberta veio à tona, muitos WAFs ainda não tinham suporte a JSON, o que deu aos pesquisadores uma brecha para criar novos payloads de SQL injection explorando essa vulnerabilidade. Nos testes conduzidos pela Azion, foi constatado que a proteção padrão do WAF contra SQLi, definida para o nível de sensibilidade mais alto e sem regras personalizadas ou adicionais, provou ser suficiente para efetuar o bloqueio desses ataques.
3. CRLF Injection bypass
Em 2023, surgiu um ataque denominado CRLF injection. De acordo com os pesquisadores de segurança da Praetorian, isto ocorre quando “uma aplicação não realiza a filtragem corretamente e retorna um cabeçalho de resposta HTTP que inclui a entrada do usuário controlada pelo agressor”.
Nosso time de segurança realizou dois testes usando a prova de conceito apresentada pela Praetorian, executando o WAF da Azion em ambiente controlado. Em ambos os casos o WAF bloqueou com sucesso as tentativas de CRLF injection, sem a necessidade de expressões regulares adicionais.
Um dos principais fatores para o sucesso do WAF da Azion com a mitigação de ataques zero-day é o seu algoritmo de bloqueio baseado em scoring. Porém, esse não é o único destaque da solução; ela também habilita o uso de regras preestabelecidas que podem ser customizadas e complementadas por edge functions, de acordo com necessidades específicas do negócio.
Para saber mais sobre como nosso WAF proporciona esses e outros benefícios, temos o artigo certo para você. Se preferir, entre em contato com um de nossos experts.
