Опубликован эксплоит для обхода Cloudflare WAF

Опубликован эксплоит для обхода Cloudflare WAF

О проблеме известно по меньшей мере с июня 2019 года, однако она все еще остается неисправленной.

image

Межсетевой экран уровня приложений (Web Application Firewall, WAF) компании Cloudflare используемый более чем 25 млн сайтов, содержит уязвимость, позволяющую обойти правила и осуществить XSS-атаку. Примечательно, что о проблеме известно по меньшей мере с июня 2019 года, однако она все еще остается неисправленной.

В начале этого года ИБ-эксперт Джексон Генри (Jackson Henry), известный в Сети как «CVE-JACKSON-1337», продемонстрировал метод обхода Cloudflare WAF с помощью HTML тега svg, обычно используемого в качестве контейнера для хранения SVG графики. Метод предполагает добавление в тег <svg onl oad=alert("1")> закодированных символов и нулей, что превращает его в эксплоит, позволяющий обойти Cloudflare WAF.

Впервые данный метод обхода был описан экспертом Богданом Коржинским (Bohdan Korzhynskyi) летом 2019 года, в сентябре 2020 года эксперт сообщил, что Cloudflare откатила некоторые правила, предоставляющие возможность обойти XSS-защиту.

Как пояснили представители Cloudflare, компания начала работу над исправлением проблемы сразу после того, как узнала о ней. Компания планирует устранить данный XSS-вектор со следующим выпуском своего движка, который более эффективно обрабатывает кодировку. На данный момент движок проходит тестирование у группы клиентов Cloudflare, а сам релиз ожидается в начале нынешнего года.

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и TwitterTwitter, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.