Go Back   Carder.life > [ru] Forum for Russians > Новости мирового кардинга
Reload this Page Брандмауэры Imperva стали мостом для SQL-инъекций и XSS-атак

CARDER.MARKET - CARDING FORUM FOR PROFESSIONAL CARDERS


Reply
 
Thread Tools Display Modes
  #1  
Old 04-05-2025, 01:02 PM
Artifact's Avatar

Artifact Artifact is offline
Administrator
Join Date: Jan 2024
Posts: 0
Default

HoyaHaxa рассказывает, что будет, если компании срочно не обновят Imperva SecureSphere.

Эксперты по кибербезопасности бьют тревогу — в популярном брандмауэре веб-приложений (WAF) Imperva SecureSphere выявлена серьезная уязвимость. Проблеме присвоен идентификатор CVE-2023-50969. Она имеет максимальный уровень риска — CVSS 9.8 из 10, и позволяет злоумышленникам обходить защитные правила, призванные предотвращать веб-атаки вроде SQL-инъекций и межсайтового выполнения сценариев.
Исследователь HoyaHaxa раскрыл технические подробности проблемы, продемонстрировав потенциальный сценарий ее эксплуатации.
Злоумышленники могут обойти защиту WAF манипулируя заголовками «Content-Encoding» в HTTP-запросах. Для этого достаточно отправить специально закодированные POST-данные — в результате атакующие получат доступ к уязвимостям в тех самых приложениях, которые брандмауэр должен защищать.
Представим, что защищаемое приложение содержит уязвимый код — например, небезопасную PHP-веб-оболочку clam.php, которая выполняет любые системные команды, переданные через POST-параметр cmd. Обычно опасные команды наподобие cat /etc/passwd блокируются стандартными правилами WAF.
Хакер может обойти блокирующее правило WAF, отправив HTTP-запрос с двумя (или более) специально сформированными заголовками. Заголовок Content-Encoding указывает, каким способом закодировано тело HTTP-сообщения. Допустимые значения — br, compress, deflate и gzip. В этом случае достаточно добавить один заголовок Content-Encoding с произвольным значением, а затем второй заголовок Content-Encoding: gzip.
Кроме того, нарушить работу правил WAF можно, использовав дополнительный заголовок Content-Encoding с последующим Content-Encoding: deflate.
CVE-2023-50969 затрагивает версию Imperva SecureSphere WAF 14.7.0.40 и любые другие версии без обновления Application Defense Center (ADC), выпущенного 26 февраля 2024 года. Клиенты облачного WAF Imperva Cloud не подвержены этой уязвимости.
Организациям, использующим Imperva SecureSphere, настоятельно рекомендуют установить обновление ADC от 26 февраля и провести тщательный аудит своих приложений на предмет других известных уязвимостей.
Code:
https://www.hoyahaxa.com/2024/03/imperva-waf-bypass-cve-2023-50969.html
Reply

Tags
NULL

« Previous Thread | Next Thread »

Posting Rules
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts
BB code is On
Smilies are On
[IMG] code is On
HTML code is On
Forum Jump




All times are GMT. The time now is 05:38 PM.

Contact Us - Carder.life - Archive - Top