image

Bug in ModSecurity maakt WAF-bypass mogelijk

maandag 5 februari 2024, 11:57 door Redactie, 0 reacties
Laatst bijgewerkt: 05-02-2024, 13:20

OWASP ModSecurity V2 en V3 bevatten beide een vergelijkbare bug die beide de mogelijkheid bieden een Web Application Firewall (WAF) te omzeilen. De bug in ModSecurity V3 (CVE-2024-1019) is inmiddels verholpen. De kwetsbaarheid in V2 is echter nog altijd niet gepatcht.

Hiervoor waarschuwt Andrea Menin, Application Security Business Unit Manager bij het Italiaanse beveiligingsbedrijf SicuraNext. ModSecurity is op 25 januari 2024 door OWASP overgenomen van Trustave, en heet sindsdien OWASP ModSecurity. ModSecurity maakt al langer gebruik van de OWASP ModSecurity Core Rule Set. Het onderliggende probleem dat de WAF nu kwetsbaar maakt zit in de manier waarop de opensource-firewall voor webtoepassingen URL's decodeert voordat het bepaalde variabelen toevoegt. Menin stelt dat deze functie niet alleen ongewenst gedrag oplevert, maar daarnaast ook ongedocumenteerd is.

ModSecurity geeft gebruikers diverse variabelen die zij kunnen gebruiken voor het ontwikkelen en inspecteren van regels. Een hiervan is 'REQUEST_FILENAME', wat het onder meer mogelijk maakt een opgevraagde URL te controleren op kwetsbaarheden als SQL-injecties of Cross-Site Scripting (XSS). Menin waarschuwt dat deze variabele niet goed in ModSecurity is geïmplementeerd, wat het mogelijk maakt de functie uit te buiten en zo de WAF te omzeilen.

Bij het decoderen van een URL identificeert ModSecurity V3 onder meer de query string. Om dit mogelijk te maken decodeert de firewall de URL, en zet daarbij %3f - de hexadecimale weergave van het vraagteken - om in een vraagteken. Alles wat na het vraagteken in de URL is opgenomen, ziet ModSecurity als query string. "Dus in de basis, door %3f toe te voegen voor een willekeurige payload interpreteert ModSecurity wat volgt als een query string, en sluit deze uit van de REQUEST_FILENAME variabel waardoor alle regels dit volledig negeren", schrijft Menin.

De kwetsbaarheid is niet aanwezig in ModSecurity V2, al omvat deze versie wel een vergelijkbaar probleem dat eveneens het omzeilen van de WAF mogelijk maakt.

Menin wijst erop dat een gebruiker al in maart 2022 op het forum van ModSecurity melding maakte van de bug. Op basis van deze melding hadden kwaadwillenden de WAF-bypass kunnen ontdekken. Het lek is volgens de Application Security Business Unit Manager dan ook sinds 2022 openbaar.

Nog geen reacties
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.