ウェブアプリケーションファイアウォール(WAF)が約150のプロトコルレベルの回避技術に対して脆弱であるかどうかをテストするツールが、水曜日のBlack Hat USA 2010セキュリティカンファレンスでリリースされた。
このツールと、それを作成するために行われた研究は、セキュリティベンダー Qualys のエンジニアリングディレクターであり、人気の高い ModSecurity Web アプリケーションファイアウォールのオリジナル開発者でもある Ivan Ristic 氏の成果です。
Webアプリケーションファイアウォールは、ウェブサイトの侵害によく用いられるSQLインジェクション攻撃などの既知の攻撃からWebアプリケーションを保護するように設計されています。クライアントから送信されるリクエストを傍受し、そのフォーマットとペイロードに関する厳格なルールを適用することでこれを実現します。
しかし、これらのルールに違反する悪意のあるリクエストを、ヘッダーの特定の部分やリクエストされたURLのパスを変更することで、WAFをすり抜けさせる様々な手法が存在します。これらはプロトコルレベルの回避手法と呼ばれ、これらの手法に関する十分な文書化がされていないため、現時点ではWAFはこれらの手法に適切に対処できていないとRistic氏は述べています。
研究者は、発見した回避手法を主にオープンソースの Web アプリケーション ファイアウォールである ModSecurity に対してテストしましたが、他の WAF もそれらのいくつかに対して脆弱であると想定するのは妥当です。
実際、リスティック氏は、研究段階でいくつかの手法を他の人と共有し、いくつかの商用 WAF 製品に対してテストして成功したと述べています。
スイスに拠点を置くWAFベンダー、Ergon Informatikの研究開発責任者であるエルウィン・フーバー・ドーナー氏は、Risticのプレゼンテーションを見た後、こうした回避手法が業界にとって問題となっていることを認めた。同社は最近、自社製品に悪影響を及ぼす同様の手法をいくつか特定し、対処したとドーナー氏は述べた。
Ristic氏は、自身の研究結果を公開することで、プロトコルレベルやその他の種類の回避策に関する業界内での議論を活発化させたいと考えています。また、WAF回避技術のカタログを無料で公開することを目的として、Wikiも開設されました。
ベンダーやセキュリティ研究者が問題を文書化して公表しなければ、WAF開発者は同じミスを何度も繰り返すことになるだろうとリスティック氏は述べた。
さらに、テスト ツールが利用可能になることで、ユーザーはどの WAF 製品に脆弱性があるのかを発見でき、ベンダーに修正を迫ることができるようになります。
ベンダーはそれぞれ優先順位が異なり、顧客に実質的なリスクがない限り、通常は問題解決に取り組まないとリスティック氏は述べた。この研究プロジェクトが、ベンダーがこれらの問題に対処するための必要なインセンティブを生み出すことを期待している、と彼は述べた。
Dohner 氏はこの取り組みを歓迎し、WAF 開発者とユーザーの両方にメリットをもたらすと考えています。
