美国电脑网路危机处理暨协调中心(CERT Coordination Center,CERT/CC)上周发布安全公告,警告资料中心业者Radware云端网页应用防火墙(Cloud Web Application Firewall, Cloud WAF)有二项漏洞,可让攻击者绕过安全过滤机制攻击Web应用程式。不过Radware对媒体说,二项漏洞早在2023年就已经修补。
这两项漏洞分别是CVE-2024-56523及CVE-2024-56524。根据CERT/CC说明,Radware Cloud WAF可以让攻击者以二种方法绕过安全过滤机制。第一是以变造的HTTP呼叫;以HTTP GET方法呼叫的HTTP内容本体包含随机资料,就可绕过WAF保护。第二则是利用WAF处理用户输入讯息时,对某一特别字元验证不足的漏洞,一旦呼叫内容包含特定字元,就可绕过WAF过滤机制,使恶意程式传送到底层Web 应用程式。攻击者还能在不引发防火墙干扰情况下执行其他攻击。
CERT/CC公告未提供二项漏洞的风险值。但资安厂商Tenable 将二项漏洞(CVE-2024-56523、CVE-2024-56524)列为重大风险。
二项漏洞是由安全研究人员Oriol Gegundez发现且通报Radware。不过这家云端及实体资料中心业者未证实研究人员的发现,资安媒体SecurityWeek也说该公司没有回应其澄清询问。
但周日Radware主动对媒体说明,CERT/CC公告的二项漏洞早在2023年就接获通报,而且已经修补。其中之一是立即解决,因为并不影响客户产品配置,第二项漏洞则包一个更新版本,以及对全球Radware客户及云端WAF发布签章。此外.基于个别用户的回馈意见,针对第二项漏洞修补该公司是提供配置指引,而非全球强制部署。因此只有客户要求才会提供配置更新。