大多數(shù)WAF提供商依賴反應(yīng)式方法�����,在漏洞被發(fā)現(xiàn)和利用后對其做出響應(yīng)�。然而,我們主張主動應(yīng)對潛在風險���,并利用AI來實現(xiàn)這一目標�����。
大多數(shù)WAF提供商依賴反應(yīng)式方法�,在漏洞被發(fā)現(xiàn)和利用后對其做出響應(yīng)�。然而,我們主張主動應(yīng)對潛在風險���,并利用AI來實現(xiàn)這一目標���。今天,我們將分享一個近期發(fā)生過的嚴重漏洞示例(CVE-2023-46805和CVE-2024-21887)��,以及在該示例中由AI提供支持的Cloudflare Attack Score和WAF中的緊急規(guī)則如何應(yīng)對這一威脅�����。
威脅:CVE-2023-46805和CVE-2024-21887
AttackerKB最近披露并分析了影響了Ivanti產(chǎn)品的繞過身份驗證(CVE-2023-46805)和命令注入漏洞(CVE-2024-21887)。此漏洞會帶來重大風險�,可能導致對受影響系統(tǒng)進行未經(jīng)授權(quán)的訪問和控制。在下文中����,我們將討論此漏洞的利用情況�。
技術(shù)分析
正如AttackerKB中所討論的,攻擊者可以使用如下命令向目標系統(tǒng)發(fā)送特制請求:
此命令針對通常受身份驗證保護的端點(/license/keys-status/)�。但是,攻擊者可以通過操縱URL以包含/api/v1/totp/user-backup-code/../../license/keys-status/來繞過身份驗證�����。這種技術(shù)稱為目錄遍歷�。
命令的URL編碼部分解碼為Python反向shell,看起來像這樣:
Python反向shell是攻擊者控制目標系統(tǒng)的一種方式��。
該漏洞存在于系統(tǒng)處理node_name參數(shù)的方式中�����。如果攻擊者可以控制node_name的值���,他們就可以向系統(tǒng)注入命令�。
詳細說明“node_name”:“node_name”參數(shù)是端點/api/v1/license/keys-status/path:node_name的組成部分。該端點是問題主要發(fā)生的地方�����。
攻擊者可以向URI路徑/api/v1/totp/user-backup-code/../../license/keys-status/;CMD;發(fā)送GET請求��,其中CMD是他們希望執(zhí)行的任何命令��。通過使用分號���,他們可以在請求中指定此命令���。為了確保系統(tǒng)正確處理命令,必須對其進行URL編碼��。
同時�����,還有另一個代碼注入漏洞被發(fā)現(xiàn)�����,AttackerKB的博客文章對此進行了詳細介紹。該漏洞涉及在系統(tǒng)的另一部分進行經(jīng)過身份驗證的命令注入��。
這里可以使用第一個命令注入中使用的相同Python反向shell有效負載�,形成一個JSON結(jié)構(gòu)來觸發(fā)漏洞。由于該有效負載是JSON格式�,因此無需對URL進行編碼:
盡管/api/v1/system/maintenance/archiving/cloud-server-test-connection端點需要身份驗證,但攻擊者可以通過將其與前面提到的目錄遍歷漏洞鏈接來繞過此驗證���。他們可以構(gòu)造未經(jīng)身份驗證的URI路徑/api/v1/totp/user-backup-code/../../system/maintenance/archiving/cloud-server-test-connection來到達此端點并利用該漏洞���。
要執(zhí)行未經(jīng)身份驗證的操作系統(tǒng)命令����,攻擊者會使用類似這樣的curl請求:
Cloudflare的主動式防御
Cloudflare WAF由一個名為WAF Attack Score的附加AI層提供支持,該層的構(gòu)建目的是在攻擊繞過之前就將其捕獲-甚至是在其被公開之前�。Attack Score提供一個分數(shù)來表明請求是否為惡意;到目前為止��,重點關(guān)注三個主要類別:XSS��、SQLi和一些RCE變體(命令注入��、ApacheLog4J等)��。分數(shù)范圍為1到99,分數(shù)越低�,請求越趨于惡意。一般來說����,任何低于20分的請求都被視為惡意請求。
使用Cloudflare的儀表板(安全>事件)查看上述CVE-2023-46805和CVE-2024-21887漏洞的利用示例的結(jié)果�����。Attack Score分析結(jié)果由三個單獨的分數(shù)組成��,每個分數(shù)都用于表明它們與特定攻擊類別的相關(guān)性��。還有一個全局分數(shù)“WAF Attack Score”���,其考慮了這三個分數(shù)的綜合影響��。在某些情況下�����,如果攻擊與某個類別匹配�,則全局分數(shù)會受到其中一個子分數(shù)的影響,在這里我們可以看到占主導地位的子分數(shù)是遠程代碼執(zhí)行“WAF RCE Attack Score”���。
同樣���,對于未經(jīng)身份驗證的操作系統(tǒng)命令請求,我們從AI模型中收到“WAF attack Score:19”��,這也屬于惡意請求類別���。值得一提的是�����,示例分數(shù)不是固定數(shù)字�����,可能會根據(jù)傳入攻擊的變化而變化。
好消息是:啟用了WAF Attack Score的Enterprise和Business計劃客戶��,以及具有低分阻止規(guī)則(例如cf.waf.score le 20)或(cf.waf.score.class eq"attack")的Business計劃客戶����,已經(jīng)免受潛在漏洞利用的影響,這種防御能力甚至在漏洞公布之前就已進行過測試。
緊急規(guī)則部署
為應(yīng)對這一嚴重漏洞���,Cloudflare于2024年1月17日(概念驗證公開后24小時內(nèi))發(fā)布了緊急規(guī)則�����。這些規(guī)則是Cloudflare WAF托管規(guī)則的一部分��,專門針對CVE-2023-46805和另一個也與Ivanti產(chǎn)品相關(guān)的漏洞CVE-2024-21887造成的威脅����。這些名為“Ivanti-身份驗證繞過���、命令注入-CVE:CVE-2023-46805�����、CVE:CVE-2024-21887”的規(guī)則旨在阻止利用這些漏洞的嘗試��,為Cloudflare用戶提供額外的安全層��。
自從我們部署這些規(guī)則以來��,我們記錄了高水平的活動��。截至撰寫本文時��,該規(guī)則已被觸發(fā)超過180,000次�。
相關(guān)提示及最佳實踐
Cloudflare對CVE-2023-46805和CVE-2024-21887漏洞的響應(yīng),表明了采取強有力的安全措施的重要性�����。建議使用Cloudflare服務(wù)(尤其是Cloudflare WAF)的企業(yè)及組織確保其系統(tǒng)更新為使用最新的規(guī)則和配置�,以維持最佳防御態(tài)勢。我們還建議客戶使用Attack Score來部署規(guī)則���,以改善其安全態(tài)勢���。如果您想了解有關(guān)Attack Score的更多信息,請聯(lián)系我們的專業(yè)團隊�����。
寫在最后
Cloudflare使用AI識別和阻止攻擊的主動式網(wǎng)絡(luò)安全防御方法(此次對CVE-2023-46805和CVE-2024-21887漏洞的響應(yīng)就是例證)強調(diào)了如何在威脅和攻擊公開并在漏洞披露之前對其進行識別��。Cloudflare通過持續(xù)監(jiān)控和快速響應(yīng)漏洞�����,確保Cloudflare客戶在日益復(fù)雜的數(shù)字環(huán)境中保持高枕無憂的安全防御態(tài)勢��。
我們保護整個企業(yè)網(wǎng)絡(luò)���,幫助客戶高效構(gòu)建互聯(lián)網(wǎng)規(guī)模應(yīng)用�,加速任何網(wǎng)站或互聯(lián)網(wǎng)應(yīng)用���,抵御DDoS攻擊�,阻止黑客����,并為您的Zero Trust之旅提供協(xié)助。
從任何設(shè)備訪問1.1.1.1�����,使用我們的免費應(yīng)用加速和保護您的互聯(lián)網(wǎng)����。
立即登錄,閱讀全文
閩公網(wǎng)安備 35010202001226號
