28.3.24: Eine kritische Schwachstelle wurde in der Imperva SecureSphere Web Application Firewall (WAF) identifiziert, die Angreifern erlaubt, WAF-Regeln, die POST-Daten inspizieren, zu umgehen. Dadurch können Angreifer Schwachstellen in geschützten Webanwendungen auszunutzen, die normalerweise durch die WAF blockiert werden würden.
Die Schwachstelle, bezeichnet als CVE-2023-50969 mit CVSS Score 9.8/10, betrifft bestimmte Versionen der SecureSphere WAF v14.7.0.40. Imperva hat bereits einen ADC-Regel-Update bereitgestellt, um dieses Problem zu beheben, das seit dem 26. Februar 2024 verfügbar ist. Kunden werden aufgefordert, sich für weitere Informationen in das Imperva Support Portal einzuloggen.
Die Schwachstelle ermöglicht das Senden gestalteter Anfragen mit mehrfachen Content-Encoding-Headern, die die WAF-Regeln zu umgehen. Ein Angreifer könnte beispielsweise einen HTTP-Request mit einem zusätzlichen Content-Encoding-Header, der auf „gzip“ oder „deflate“ gesetzt ist, senden, um die WAF-Inspektion zu umgehen und beispielsweise Befehle auf einem Webserver auszuführen, die normalerweise blockiert würden.
Die zugewiesene CVSS Bewertung „CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H“ bedeutet im Detail:
- AV:N (Attack Vector: Network): Die Schwachstelle kann über das Netzwerk ausgenutzt werden. Das bedeutet, dass ein Angreifer die Schwachstelle ohne lokalen Zugriff ausnutzen kann, beispielsweise über das Internet.
- AC:L (Attack Complexity: Low): Die Komplexität des Angriffs ist niedrig. Das bedeutet, dass ein Angreifer die Schwachstelle ohne erheblichen Aufwand oder ohne spezielle Bedingungen ausnutzen kann.
- PR:N (Privileges Required: None): Für die Ausnutzung der Schwachstelle sind keine besonderen Berechtigungen erforderlich. Ein unprivilegierter Zugriff ist ausreichend.
- UI:N (User Interaction: None): Um die Schwachstelle auszunutzen, ist keine Interaktion eines Benutzers erforderlich. Der Angriff kann ohne Zutun des Benutzers erfolgen.
- S:U (Scope: Unchanged): Der Angriff wirkt sich nur auf die Software aus, die die Schwachstelle enthält. Es gibt keinen Einfluss auf andere Komponenten des Systems.
- C:H (Confidentiality: High): Es besteht eine hohe Gefahr für die Vertraulichkeit. Ein erfolgreicher Angriff kann dazu führen, dass vertrauliche Informationen preisgegeben werden.
- I:H (Integrity: High): Die Integrität ist stark gefährdet. Das bedeutet, dass ein Angreifer die Möglichkeit hat, Dateien oder Daten zu verändern oder zu löschen.
- A:H (Availability: High): Die Verfügbarkeit ist stark gefährdet. Ein erfolgreicher Angriff kann dazu führen, dass die betroffene Ressource für berechtigte Nutzer nicht verfügbar ist.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: