Schwachstelle umgeht Imperva SecureSphere WAF

28.3.24: Eine kritische Schwachstelle wurde in der Imperva SecureSphere Web Application Firewall (WAF) identifiziert, die Angreifern erlaubt, WAF-Regeln, die POST-Daten inspizieren, zu umgehen. Dadurch können Angreifer Schwachstellen in geschützten Webanwendungen auszunutzen, die normalerweise durch die WAF blockiert werden würden.

Die Schwachstelle, bezeichnet als CVE-2023-50969 mit CVSS Score 9.8/10, betrifft bestimmte Versionen der SecureSphere WAF v14.7.0.40. Imperva hat bereits einen ADC-Regel-Update bereitgestellt, um dieses Problem zu beheben, das seit dem 26. Februar 2024 verfügbar ist. Kunden werden aufgefordert, sich für weitere Informationen in das Imperva Support Portal einzuloggen.

Die Schwachstelle ermöglicht das Senden gestalteter Anfragen mit mehrfachen Content-Encoding-Headern, die die WAF-Regeln zu umgehen. Ein Angreifer könnte beispielsweise einen HTTP-Request mit einem zusätzlichen Content-Encoding-Header, der auf “gzip” oder “deflate” gesetzt ist, senden, um die WAF-Inspektion zu umgehen und beispielsweise Befehle auf einem Webserver auszuführen, die normalerweise blockiert würden.

Die zugewiesene CVSS Bewertung “CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H” bedeutet im Detail:

  • AV:N (Attack Vector: Network): Die Schwachstelle kann über das Netzwerk ausgenutzt werden. Das bedeutet, dass ein Angreifer die Schwachstelle ohne lokalen Zugriff ausnutzen kann, beispielsweise über das Internet.
  • AC:L (Attack Complexity: Low): Die Komplexität des Angriffs ist niedrig. Das bedeutet, dass ein Angreifer die Schwachstelle ohne erheblichen Aufwand oder ohne spezielle Bedingungen ausnutzen kann.
  • PR:N (Privileges Required: None): Für die Ausnutzung der Schwachstelle sind keine besonderen Berechtigungen erforderlich. Ein unprivilegierter Zugriff ist ausreichend.
  • UI:N (User Interaction: None): Um die Schwachstelle auszunutzen, ist keine Interaktion eines Benutzers erforderlich. Der Angriff kann ohne Zutun des Benutzers erfolgen.
  • S:U (Scope: Unchanged): Der Angriff wirkt sich nur auf die Software aus, die die Schwachstelle enthält. Es gibt keinen Einfluss auf andere Komponenten des Systems.
  • C:H (Confidentiality: High): Es besteht eine hohe Gefahr für die Vertraulichkeit. Ein erfolgreicher Angriff kann dazu führen, dass vertrauliche Informationen preisgegeben werden.
  • I:H (Integrity: High): Die Integrität ist stark gefährdet. Das bedeutet, dass ein Angreifer die Möglichkeit hat, Dateien oder Daten zu verändern oder zu löschen.
  • A:H (Availability: High): Die Verfügbarkeit ist stark gefährdet. Ein erfolgreicher Angriff kann dazu führen, dass die betroffene Ressource für berechtigte Nutzer nicht verfügbar ist.
Tags :

Related Posts

Synology Surveillance Stations: sofortige patchen erforderlich

Synology hat am 28.3.24 ein Sicherheitsupdate für Surveillance Station veröffentlicht, um mehrere Schwachstellen zu beheben, die es authentifizierten Remote-Benutzern ermöglichen, auf Intranet-Ressourcen zuzugreifen, Sicherheitsbeschränkungen zu umgehen, Denial-of-Service-Angriffe durchzuführen, SQL-Befehle einzuschleusen, unberechtigt Privilegien zu erlangen, sensible Informationen zu erhalten und bestimmte Dateien zu schreiben. Die betroffenen Produkte sind Surveillance Station für DSM 7.2, 7.1 und 6.2, wobei Nutzer auf die Version 9.2.0-11289 oder höher aktualisieren sollten.

Read More

Darcula: SMS Phishing as a Service auf iMessage und RCS

März 2024: Der Cyber Security Dienstleister Netcraft berichtet über einen neuen, ausgeklügelten Phishing-as-a-Service (PhaaS) Anbieter namens ‘Darcula’, der in über 100 Ländern aktiv ist und mit raffinierten Techniken und über 20.000 Phishing-Domains Phishing Betrug als Dienstleistung anbietet. Darcula bietet Cyberkriminellen einfache Zugänge zu markenspezifischen Phishing-Kampagnen, wobei nicht traditionelles PHP, sondern fortschrittliche Tools wie JavaScript, React, Docker und Harbor zum Einsatz kommen.

Read More

AI Package Hallucination Angriffe nehmen zu

ChatGPT und Co. erfinden oft Software Dependencies die gar nicht existieren - Hacker nehmen diese Einladung dankend an und programmieren diese nach, incl. Malware Backdoor. Das Problem basiert auf sog. “AI Package Hallucination” und betrifft LLMs wie ChatGPT, die auf Grund Ihrer Art zu antworten oft auch ursprünglich nicht existierende Softwarepakete empfehlen. Ein Bericht von Lasso Security zeigt, dass teilweise 30 Tausend Downloads auf ein hallzuniertes Software Paket (huggingface-cli statt huggingface-hub) existierten, das es so nie hätte geben dürfen.

Read More