Les limitations de sécurité dans la protection par défaut offerte par le pare-feu d’application Web (WAF) de Google permettent de contourner les défenses basées sur le cloud de l’entreprise.

Les chercheurs du cabinet de conseil en sécurité Kloudle ont découvert qu’ils étaient capables de contourner les pare-feu des applications Web Google Cloud Platform (GCP) et Amazon Web Services (AWS) simplement en faisant une demande POST de plus de 8 Ko.

« Le comportement par défaut de Cloud Armor dans ce cas peut permettre à des requêtes malveillantes de contourner Cloud Armor et d’atteindre directement une application sous-jacente », selon Kloudle.

« Ceci est similaire à la limitation bien documentée de 8 Ko du pare-feu d’application Web AWS, cependant, dans le cas de Cloud Armor, la limitation n’est pas aussi largement connue et n’est pas présentée aux clients aussi clairement que la limitation dans AWS. »

Les WAF sont censés protéger contre les attaques Web, y compris l’injection SQL et les scripts intersites, même dans les cas où une application sous-jacente est toujours vulnérable.

Le contournement de cette protection rapprocherait un attaquant potentiel de l’attaque d’une application hébergée sur le Web, à condition qu’un point de terminaison ciblé accepte les requêtes HTTP POST « d’une manière qui pourrait déclencher une vulnérabilité sous-jacente ».

« Ce problème peut être exploité en créant une requête HTTP POST avec une taille de corps dépassant la limite de taille de 8 Ko de Cloud Armor, où la charge utile apparaît après le 8192e octet/caractère dans le corps de la requête », explique Kloudle dans un article de blog technique.

Sous armure

Le WAF Cloud Armor de Google est livré avec un ensemble de règles de pare-feu préconfigurées qui s’inspirent de l’ensemble de règles de base open source OWASP ModSecurity.

Les utilisateurs peuvent bloquer le vecteur d’attaque potentiel en configurant une règle Cloud Armor personnalisée pour bloquer les requêtes HTTP dont le corps de la requête est supérieur à 8192 octets – une règle générale qui peut être modifiée davantage pour accepter des exceptions définies.

Bien que le WAF d’AWS rencontre à peu près les mêmes problèmes, Kloudle a reproché à GCP de ne pas avoir signalé le problème aux clients. D’autres WAF basés sur le cloud présentent des limitations similaires, ont déclaré les chercheurs.

Kloudle a dit La gorgée quotidienne: « Cela fait partie des travaux en cours… jusqu’à présent, nous avons également constaté des limitations du corps de la demande avec Cloudflare, Azure et Akamai. Certains ont 8 Ko et d’autres s’étendent jusqu’à 128 Ko.

En réponse aux questions de La gorgée quotidienneun représentant de Google a souligné qu’il divulguait la limite de 8 Ko dans son Documentation.

Un représentant de Kloudle était sensible aux compromis de sécurité et de fonctionnalité que les fournisseurs de cloud sont obligés d’équilibrer, mais a déclaré La gorgée quotidienne que les fournisseurs de cloud devraient faire plus pour éduquer les utilisateurs sur le problème.

« Le logiciel de sécurité périmétrique est difficile. Je soupçonne que dans ce cas, la limite de 8 Ko leur permet de traiter de manière fiable d’autres règles WAF », a expliqué le représentant.

« Ils pourraient faire plus pour sensibiliser les développeurs, notamment en ajoutant cette règle par défaut avec l’option de la désactiver au cas où quelqu’un le souhaiterait.

« Conformément au modèle de responsabilité partagée en matière de sécurité, il incombe à l’utilisateur final d’utiliser le service en toute sécurité », ont-ils ajouté.

Cette histoire a été mise à jour pour ajouter un commentaire de Google et pour clarifier la critique implicite de Kloudle à l’égard de la documentation de GCP et de la communication avec ses clients.