一名研究人员披露了一种绕过运行Spring Boot的Akamai Web应用程序防火墙(WAF)的技术,可能导致远程代码执行(RCE)。Akamai的WAF于数月前进行了修补,旨在降低分布式拒绝服务(DDoS)攻击的风险,并使用自适应技术来阻止已知的Web安全威胁。化名为“pmnh”的安全研究员Peter H表示,此次攻击使用了Spring表达式语言(SpEL)注入。漏洞赏金猎人在Synack pentester Usman Mansha参与私人Bugcrowd计划期间找到了绕过。
Peter H的一篇技术文章揭示了服务器端模板注入(SSTI)是绕过的核心。他们解释说,易受攻击的Spring Boot版本会在带有白标签错误页面的SpEL表达式中抛出错误消息。当使用易受攻击的框架时,这种注入会在服务器端进行评估——打开潜在的滥用途径。
Akamai的WAF在测试期间阻止了SSTI。然而,该团队坚持寻找利用SpEL调用操作系统命令的方法——可能是通过Java。
最明显的途径是找到通往java.lang.Runtime类的方法,从SpEL引用${T(java.lang.Runtime)}开始,但这被Akamai的软件阻止了。
“我怀疑这行不通,但在尝试绕过WAF时,从你知道有效的小东西构建到更大、更复杂的有效负载非常重要,”研究人员说。
下一阶段是找到对任意类的引用,Peter H说这将允许“直接方法调用或基于反射的调用来获取我们想要的方法”。
Peter H和Mansha使用反射方法获取对Class.forName的访问权限,使用java.lang.Runtime值构建任意字符串,访问java.lang.Runtime.getRuntime方法,并创建另一个字符串来访问java.lang。运行时——从而支持开发可工作的RCE负载。
最终有效负载小于3kb,并被服务器接受为GET请求。
而,绕过WAF绝非易事。Peter H指出,大约需要500次精心设计的尝试和14多个小时才能找到入口点。
研究人员拒绝提供文本格式的最终有效载荷,以防止盲目模仿。
“在这种情况下,需要对Java和SpEL功能有深入了解,才能构建既能绕过Akamai WAF又能在其执行环境中工作的有效载荷,”他们指出。
征求意见时,Akamai说,只有在研究人员使用旧版本的Akamai WAF保护引擎时才有可能绕过。
补丁已于2022年7月25日发布。因此,运行最新引擎版本的客户不会面临被利用的风险。
Akamai表示:“Akamai获悉一名安全研究人员的发现,该研究人员声称已绕过Akamai的WAF。此问题已被发现,并在发布此博文前几个月发布了更新。
“Akamai威胁研究团队一直在寻找新的攻击类型,并致力于定期主动更新保护措施。Akamai建议所有客户确保支持Akamai WAF的保护引擎Adaptive Security Engine是最新的,最好是通过自动更新。”
评论已关闭。