John Leyden

04 mars 2021 à 12h30 UTC

Mis à jour: 5 mars 2021 à 07h30 UTC

Un chercheur en sécurité a rendu public son inquiétude, mais les responsables de ModSec insistent sur le fait que les paramètres par défaut pour WAF sont sécurisés

Le débat fait rage sur le risque de contournement de ModSecurity 3 WAF

Les installations WAF (ModSecurity 3 Web Application Firewall) configurées pour désactiver l’accès au corps de la demande peuvent être contournées, avertissent les chercheurs en sécurité.

Le problème allégué dans les ensembles de règles ModSecurity est limité à ModSecurity 3 (et non à la version ModSecurity 2 antérieure du produit) et n’affecte pas les administrateurs WAF qui accordent au moteur l’accès au corps de la requête.

Pour les personnes concernées, cependant, le risque est considérable, selon Christian Folini, chercheur et auteur suisse en sécurité.

Ervin Hegedüs, le chercheur en sécurité qui a identifié le problème, a signalé le problème à l’équipe de ModSecurity le 2 décembre.

Malgré plus de trois mois de discussion, le problème reste non résolu – un état des choses insatisfaisant qui a conduit Folini à faire connaître ses préoccupations à travers un article de blog technique plus tôt cette semaine.

Trustwave, la société derrière ModSecurity, a nié qu’il y en avait un vulnérabilitéet décrit le problème comme un risque inhérent uniquement à un certain paramètre de configuration avancé.

Heure WAF

ModSecurity est très populaire Open source Pare-feu d’application Web (WAF) conçu pour utiliser des règles prédéfinies. La technologie est souvent associée au serveur Web Nginx.

Les administrateurs de sécurité peuvent créer leurs propres règles personnalisées ou fournir des bibliothèques existantes telles que: B. à partir du projet OWASP ModSecurity Core Rule Set (CRS) librement installable.

Folini, codirigeant du projet CRS, a déclaré La gorgée quotidienne: «Si vous exécutez CRS ou l’un des ensembles de règles ModSecurity commerciaux bien connus pour ModSecurity 3 et que vous désactivez Request Body Access pour le WAF, vous avez configuré un contournement WAF complet. « C’est parce que sauter l’accès au corps de la requête est implémenté de telle manière que la phase du corps de la requête (= phase 2) du traitement des règles dans ModSecurity 3 est ignorée. »

LIÉ Les superviseurs de ModSecurity contestent les allégations de vulnérabilité de déni de service

Le moteur ModSecurity WAF est géré par le fournisseur de sécurité Trustwave.

En réponse aux demandes de La gorgée quotidienneTrustwave a publié une déclaration niant qu’il y avait un problème avec sa technologie:

Le problème décrit dans l’article de blog de l’ensemble de règles de base n’est pas une vulnérabilité. Il pointe vers un paramètre de configuration avancé qui est activé par défaut et doit être désactivé afin de créer le comportement mentionné sur le blog.

Ce paramètre peut être utilisé pour désactiver une partie essentielle du flux de travail ModSecurity. Il ne doit être utilisé que par des utilisateurs expérimentés comme indiqué dans le tableau Documentation.

Ce problème particulier a été largement discuté sur les forums de la communauté ModSecurity. Par conséquent, des modifications de code ont été apportées pour clarifier que la désactivation de ces paramètres par défaut peut produire des résultats indésirables. Ces modifications de code font partie de la version 3.1 de ModSecurity, qui sera disponible une fois que la communauté open source aura terminé les tests de la version complète.

En réponse à CVE-2020-15598, nous avons publié le billet de blog suivant en septembre 2020: ModSecurity, expressions régulières et controversée CVE-2020-15598

Folini – qui a reconnu que ses inquiétudes persistaient malgré le rejet par Trustwave d’un problème – a déclaré que le problème serait difficile à défendre sans une solution complète de ModSecurity / Trustwave.

« Les développeurs de ModSecurity n’ont pas fourni de solution à ce problème, bien qu’ils en aient été informés le 2 décembre », a déclaré Folini.

En savoir plus sur les dernières nouvelles sur les vulnérabilités de sécurité

Folini estime que moins d’un cinquième de toutes les installations mondiales de ModSecurity ont été configurées avec cette configuration «vulnérable».

Les administrateurs peuvent désactiver l’accès au corps des exigences pour «des raisons de timing pour des raisons de performance (échanger la sécurité contre la performance tout en maintenant un certain degré de sécurité) ou ne sont intéressés que par certains types de règles».

Température corporelle

La sécurité Chercheur Il a ensuite suggéré des solutions de contournement possibles pour résoudre le problème de sécurité dépendant de la configuration dans ModSecurity 3.

«L’activation de l’accès au corps de la requête est la meilleure approche», a déclaré Folini. « Pourtant, les gens le désactivent généralement pour une raison quelconque, ce qui n’est peut-être pas une chose faisable. »

Folini a poursuivi: «Une autre alternative est de déplacer autant de règles que possible de la phase 2 à la phase 1. Nous avons essayé de le faire pour CRS et avons prévu de le publier en tant que version 3.3.1. Cependant, nous avons dû abandonner ce plan en raison des nombreux effets secondaires négatifs et autres bogues ModSecurity3 qui sont apparus en cours de route. « 

VOUS POURRIEZ AUSSI AIMER Les vulnérabilités du moteur de modèles PHP Smarty rendent les plates-formes CMS populaires exposées aux abus



Source link

Recent Posts