Ga naar inhoud

Aanbevolen berichten

Geplaatst:

OWASP ModSecurity V2 en V3 bevatten beide een vergelijkbare bug die beide de mogelijkheid bieden een Web Application Firewall (WAF) te omzeilen. De bug in ModSecurity V3 (CVE-2024-1019) is inmiddels verholpen. De kwetsbaarheid in V2 is echter nog altijd niet gepatcht.

Hiervoor waarschuwt Andrea Menin, Application Security Business Unit Manager bij het Italiaanse beveiligingsbedrijf SicuraNext. ModSecurity is op 25 januari 2024 door OWASP overgenomen van Trustave, en heet sindsdien OWASP ModSecurity. ModSecurity maakt al langer gebruik van de OWASP ModSecurity Core Rule Set. Het onderliggende probleem dat de WAF nu kwetsbaar maakt zit in de manier waarop de opensource-firewall voor webtoepassingen URL's decodeert voordat het bepaalde variabelen toevoegt. Menin stelt dat deze functie niet alleen ongewenst gedrag oplevert, maar daarnaast ook ongedocumenteerd is.

ModSecurity geeft gebruikers diverse variabelen die zij kunnen gebruiken voor het ontwikkelen en inspecteren van regels. Een hiervan is 'REQUEST_FILENAME', wat het onder meer mogelijk maakt een opgevraagde URL te controleren op kwetsbaarheden als SQL-injecties of Cross-Site Scripting (XSS). Menin waarschuwt dat deze variabele niet goed in ModSecurity is geïmplementeerd, wat het mogelijk maakt de functie uit te buiten en zo de WAF te omzeilen.

Bij het decoderen van een URL identificeert ModSecurity V3 onder meer de query string. Om dit mogelijk te maken decodeert de firewall de URL, en zet daarbij %3f - de hexadecimale weergave van het vraagteken - om in een vraagteken. Alles wat na het vraagteken in de URL is opgenomen, ziet ModSecurity als query string. "Dus in de basis, door %3f toe te voegen voor een willekeurige payload interpreteert ModSecurity wat volgt als een query string, en sluit deze uit van de REQUEST_FILENAME variabel waardoor alle regels dit volledig negeren", schrijft Menin.

De kwetsbaarheid is niet aanwezig in ModSecurity V2, al omvat deze versie wel een vergelijkbaar probleem dat eveneens het omzeilen van de WAF mogelijk maakt.

Menin wijst erop dat een gebruiker al in maart 2022 op het forum van ModSecurity melding maakte van de bug. Op basis van deze melding hadden kwaadwillenden de WAF-bypass kunnen ontdekken. Het lek is volgens de Application Security Business Unit Manager dan ook sinds 2022 openbaar.

 

bron: https://www.security.nl

Dit is een verouderd onderwerp. Heb je een gelijkaardige vraag? Start dan een nieuw topic in dit forumonderdeel aub.

Doe mee aan dit gesprek

Je kunt dit nu plaatsen en later registreren. Indien je reeds een account hebt, log dan nu in om het bericht te plaatsen met je account.

Gast
Reageer op dit topic

×   Geplakt als verrijkte tekst.   Plak in plaats daarvan als platte tekst

  Er zijn maximaal 75 emoji toegestaan.

×   Je link werd automatisch ingevoegd.   Tonen als normale link

×   Je vorige inhoud werd hersteld.   Leeg de tekstverwerker

×   Je kunt afbeeldingen niet direct plakken. Upload of voeg afbeeldingen vanaf een URL in

×
×
  • Nieuwe aanmaken...

Belangrijke informatie

We hebben cookies geplaatst op je toestel om deze website voor jou beter te kunnen maken. Je kunt de cookie instellingen aanpassen, anders gaan we er van uit dat het goed is om verder te gaan.