大多數(shù)WAF提供商依賴反應(yīng)式方法����,在漏洞被發(fā)現(xiàn)和利用后對(duì)其做出響應(yīng)。然而��,我們主張主動(dòng)應(yīng)對(duì)潛在風(fēng)險(xiǎn)��,并利用AI來實(shí)現(xiàn)這一目標(biāo)�����。
大多數(shù)WAF提供商依賴反應(yīng)式方法�,在漏洞被發(fā)現(xiàn)和利用后對(duì)其做出響應(yīng)。然而����,我們主張主動(dòng)應(yīng)對(duì)潛在風(fēng)險(xiǎn),并利用AI來實(shí)現(xiàn)這一目標(biāo)。今天��,我們將分享一個(gè)近期發(fā)生過的嚴(yán)重漏洞示例(CVE-2023-46805和CVE-2024-21887)�����,以及在該示例中由AI提供支持的Cloudflare Attack Score和WAF中的緊急規(guī)則如何應(yīng)對(duì)這一威脅�。
威脅:CVE-2023-46805和CVE-2024-21887
AttackerKB最近披露并分析了影響了Ivanti產(chǎn)品的繞過身份驗(yàn)證(CVE-2023-46805)和命令注入漏洞(CVE-2024-21887)����。此漏洞會(huì)帶來重大風(fēng)險(xiǎn),可能導(dǎo)致對(duì)受影響系統(tǒng)進(jìn)行未經(jīng)授權(quán)的訪問和控制���。在下文中���,我們將討論此漏洞的利用情況。
技術(shù)分析
正如AttackerKB中所討論的��,攻擊者可以使用如下命令向目標(biāo)系統(tǒng)發(fā)送特制請(qǐng)求:
此命令針對(duì)通常受身份驗(yàn)證保護(hù)的端點(diǎn)(/license/keys-status/)���。但是����,攻擊者可以通過操縱URL以包含/api/v1/totp/user-backup-code/../../license/keys-status/來繞過身份驗(yàn)證�����。這種技術(shù)稱為目錄遍歷。
命令的URL編碼部分解碼為Python反向shell����,看起來像這樣:
Python反向shell是攻擊者控制目標(biāo)系統(tǒng)的一種方式。
該漏洞存在于系統(tǒng)處理node_name參數(shù)的方式中���。如果攻擊者可以控制node_name的值�����,他們就可以向系統(tǒng)注入命令����。
詳細(xì)說明“node_name”:“node_name”參數(shù)是端點(diǎn)/api/v1/license/keys-status/path:node_name的組成部分����。該端點(diǎn)是問題主要發(fā)生的地方。
攻擊者可以向URI路徑/api/v1/totp/user-backup-code/../../license/keys-status/;CMD;發(fā)送GET請(qǐng)求����,其中CMD是他們希望執(zhí)行的任何命令。通過使用分號(hào),他們可以在請(qǐng)求中指定此命令����。為了確保系統(tǒng)正確處理命令���,必須對(duì)其進(jìn)行URL編碼。
同時(shí)�����,還有另一個(gè)代碼注入漏洞被發(fā)現(xiàn),AttackerKB的博客文章對(duì)此進(jìn)行了詳細(xì)介紹����。該漏洞涉及在系統(tǒng)的另一部分進(jìn)行經(jīng)過身份驗(yàn)證的命令注入��。
這里可以使用第一個(gè)命令注入中使用的相同Python反向shell有效負(fù)載��,形成一個(gè)JSON結(jié)構(gòu)來觸發(fā)漏洞��。由于該有效負(fù)載是JSON格式�,因此無需對(duì)URL進(jìn)行編碼:
盡管/api/v1/system/maintenance/archiving/cloud-server-test-connection端點(diǎn)需要身份驗(yàn)證���,但攻擊者可以通過將其與前面提到的目錄遍歷漏洞鏈接來繞過此驗(yàn)證�。他們可以構(gòu)造未經(jīng)身份驗(yàn)證的URI路徑/api/v1/totp/user-backup-code/../../system/maintenance/archiving/cloud-server-test-connection來到達(dá)此端點(diǎn)并利用該漏洞�。
要執(zhí)行未經(jīng)身份驗(yàn)證的操作系統(tǒng)命令,攻擊者會(huì)使用類似這樣的curl請(qǐng)求:
Cloudflare的主動(dòng)式防御
Cloudflare WAF由一個(gè)名為WAF Attack Score的附加AI層提供支持��,該層的構(gòu)建目的是在攻擊繞過之前就將其捕獲-甚至是在其被公開之前���。Attack Score提供一個(gè)分?jǐn)?shù)來表明請(qǐng)求是否為惡意��;到目前為止�����,重點(diǎn)關(guān)注三個(gè)主要類別:XSS����、SQLi和一些RCE變體(命令注入�����、ApacheLog4J等)����。分?jǐn)?shù)范圍為1到99�����,分?jǐn)?shù)越低��,請(qǐng)求越趨于惡意�。一般來說����,任何低于20分的請(qǐng)求都被視為惡意請(qǐng)求���。
使用Cloudflare的儀表板(安全>事件)查看上述CVE-2023-46805和CVE-2024-21887漏洞的利用示例的結(jié)果�。Attack Score分析結(jié)果由三個(gè)單獨(dú)的分?jǐn)?shù)組成,每個(gè)分?jǐn)?shù)都用于表明它們與特定攻擊類別的相關(guān)性����。還有一個(gè)全局分?jǐn)?shù)“WAF Attack Score”�,其考慮了這三個(gè)分?jǐn)?shù)的綜合影響��。在某些情況下��,如果攻擊與某個(gè)類別匹配,則全局分?jǐn)?shù)會(huì)受到其中一個(gè)子分?jǐn)?shù)的影響����,在這里我們可以看到占主導(dǎo)地位的子分?jǐn)?shù)是遠(yuǎn)程代碼執(zhí)行“WAF RCE Attack Score”���。
同樣���,對(duì)于未經(jīng)身份驗(yàn)證的操作系統(tǒng)命令請(qǐng)求����,我們從AI模型中收到“WAF attack Score:19”�����,這也屬于惡意請(qǐng)求類別。值得一提的是�����,示例分?jǐn)?shù)不是固定數(shù)字��,可能會(huì)根據(jù)傳入攻擊的變化而變化。
好消息是:?jiǎn)⒂昧薟AF Attack Score的Enterprise和Business計(jì)劃客戶�,以及具有低分阻止規(guī)則(例如cf.waf.score le 20)或(cf.waf.score.class eq"attack")的Business計(jì)劃客戶����,已經(jīng)免受潛在漏洞利用的影響��,這種防御能力甚至在漏洞公布之前就已進(jìn)行過測(cè)試���。
緊急規(guī)則部署
為應(yīng)對(duì)這一嚴(yán)重漏洞,Cloudflare于2024年1月17日(概念驗(yàn)證公開后24小時(shí)內(nèi))發(fā)布了緊急規(guī)則��。這些規(guī)則是Cloudflare WAF托管規(guī)則的一部分���,專門針對(duì)CVE-2023-46805和另一個(gè)也與Ivanti產(chǎn)品相關(guān)的漏洞CVE-2024-21887造成的威脅�����。這些名為“Ivanti-身份驗(yàn)證繞過����、命令注入-CVE:CVE-2023-46805�����、CVE:CVE-2024-21887”的規(guī)則旨在阻止利用這些漏洞的嘗試�����,為Cloudflare用戶提供額外的安全層。
自從我們部署這些規(guī)則以來�,我們記錄了高水平的活動(dòng)���。截至撰寫本文時(shí)��,該規(guī)則已被觸發(fā)超過180,000次���。
相關(guān)提示及最佳實(shí)踐
Cloudflare對(duì)CVE-2023-46805和CVE-2024-21887漏洞的響應(yīng)����,表明了采取強(qiáng)有力的安全措施的重要性��。建議使用Cloudflare服務(wù)(尤其是Cloudflare WAF)的企業(yè)及組織確保其系統(tǒng)更新為使用最新的規(guī)則和配置�����,以維持最佳防御態(tài)勢(shì)。我們還建議客戶使用Attack Score來部署規(guī)則��,以改善其安全態(tài)勢(shì)。如果您想了解有關(guān)Attack Score的更多信息,請(qǐng)聯(lián)系我們的專業(yè)團(tuán)隊(duì)��。
寫在最后
Cloudflare使用AI識(shí)別和阻止攻擊的主動(dòng)式網(wǎng)絡(luò)安全防御方法(此次對(duì)CVE-2023-46805和CVE-2024-21887漏洞的響應(yīng)就是例證)強(qiáng)調(diào)了如何在威脅和攻擊公開并在漏洞披露之前對(duì)其進(jìn)行識(shí)別���。Cloudflare通過持續(xù)監(jiān)控和快速響應(yīng)漏洞�����,確保Cloudflare客戶在日益復(fù)雜的數(shù)字環(huán)境中保持高枕無憂的安全防御態(tài)勢(shì)。
我們保護(hù)整個(gè)企業(yè)網(wǎng)絡(luò)����,幫助客戶高效構(gòu)建互聯(lián)網(wǎng)規(guī)模應(yīng)用,加速任何網(wǎng)站或互聯(lián)網(wǎng)應(yīng)用��,抵御DDoS攻擊�����,阻止黑客,并為您的Zero Trust之旅提供協(xié)助���。
從任何設(shè)備訪問1.1.1.1�����,使用我們的免費(fèi)應(yīng)用加速和保護(hù)您的互聯(lián)網(wǎng)����。
立即登錄,閱讀全文
閩公網(wǎng)安備 35010202001226號(hào)
