Як обходять широковідомі WAF

Сьогодні ми поговоримо про сервіси, які використовуються як між мережеві екрани, для захисту серверів від різних типів атак.

Зазвичай вендори пропонують користувачам:

• Контроль доставки додатків (ADC)
• Мережа доставки контенту (CDN)
• Захист від DDoS-атак
• Глобальне балансування навантаження сервера (GSLB)
• Брандмауер веб-застосунків (WAF)

Як це працює:

Сервіс WAF захищає веб-сайти, змінюючи їхні записи системи доменних імен (DNS) для маршрутизації трафіку через цей сервіс. Потім сервіс відфільтровує шкідливі атаки від ботів. Це також є ефективним захистом проти XSS, незаконного доступу до ресурсів та всіх інших загроз OWASP , SQLi та інших веб загроз.

Це найпоширеніші рішення. Наприклад, Cloudflare покриває 80.7% від усіх реверс проксі, що використовуються в глобальній мережі, а це 18.7% від усіх веб-сайтів!

Тепер поговоримо про недоліки, усі плюси таких систем можуть були легко знівельовані.

Ось так виглядає схема комунікації сервера з клієнтами з використанням нашого реверс проксі:

Логіка прослідковується. А що буде коли хакер спробує спілкуватись ось так?

Якщо на сервері немає обмежень до трафіку з інших хостів окрім проксі та хакер знає справжню IP-адресу сервера, то він зможе організувати пряме спілкування з сервером, обходячи усі системи захисту, що надаються поставником проксі.

Чому це відбувається?

При першій схемі, проксі «закриває» за собою веб-сервер та не розголошує його справжню IP-адресу, таким чином провокуючи увесь трафік проходити спершу через нього. Якщо трафік буде йти прямо на веб-сервер, системи захисту від проксі будуть безсилі.

Що потрібно хакеру для реалізації цієї атаки? Майже нічого, лише справжня IP адреса веб-сервера.

Для того, щоб її отримати, хакер може використовувати перелік різних (публічно доступних) інструментів.

Серед онлайн сервісів ми виділили:

• dnsdumpster.com
• viewdns.info
• suip.biz
• completedns.com

З програм:

• https://github.com/vincentcox/bypass-firewalls-by-DNS-history/blob/master/bypass-firewalls-by-DNS-history.sh

Ці засоби надають спектр інструментів для аналізу даних про DNS/IP веб-сервера, що при наявній вразливості дозволить обійти WAF.

Що робити, аби з вами такого не трапилось?

Коли ви починаєте користуватись подібними послугами, недостатньо лише замінити записи типу A у DNS серверах, щоб вони перенаправляли користувачів на нову IP-адресу, яка знаходиться на серверах WAF.

Оскільки ви вирішуєте перенаправляти весь веб трафік через проксі, потрібно:

• Закрити усі інші канали зв’язку окрім нього, такі як порти та інтерфейси.
• Організувати комунікацію так, щоб сервер міг приймати запити лише від проксі.
• Переїхати на нові IP-адреси, щоб їх не було у записах у відкритих джерелах.

Автор: Юрій Серпінський