AkamaiやCloudflareなど主要なWAFをバイパスする脆弱性が見つかる：セキュリティニュースアラート

Zafran SecurityはFortune 100企業の40％に影響を及ぼすWAFバイパスの脆弱性を発見した。不適切なWAF構成によりWebアプリケーションが深刻なセキュリティリスクにさらされる可能性がある。

[後藤大地，有限会社オングス]

　Zafran Securityは2024年12月3日（現地時間）、Fortune 100企業の約40％に影響を与える広範なWebアプリケーションファイアウォール（WAF）バイパス手法を発見したと発表した。

　Zafran Securityの研究チームによると、AkamaiやCloudflare、Fastly、Impervaなど主要なWAFサービスに存在する不適切な構成によって、Webアプリケーションが直接的なインターネット攻撃にさらされ、完全な侵害やランサムウェア攻撃、DDoS攻撃を受ける可能性がある。

複数のWAFをバイパスする脆弱性が見つかる　Fortune 100企業の40％に影響

　この問題は、世界中で保護されているWebアプリケーションの90％に関連するとされ、JPMorganChaseやVisa、Intelといった大企業のWebアプリケーションが影響を受けたことが判明した。例えばJPMorganChaseの主要Webサイトがこの脆弱（ぜいじゃく）性にさらされていたが、同社とZafran Securityの迅速な対応によって修正された。

　調査によると、Fortune 100企業が所有する14万以上のドメインのうち8000のドメインが直接攻撃にさらされ、結果として3万6000のバックエンドサーバが攻撃対象となっていたことが報告された。

　Zafran Securityが発見したこの脆弱（ぜいじゃく）性はWAFプロバイダーがコンテンツデリバリーネットワーク（CDN）プロバイダーとしても機能することに起因している。通常のWAFは顧客環境内に配置されるが、CDNベースのWAFではバックエンドWebアプリケーションがインターネットトラフィックにオープンな状態となる場合がある。

　このような環境において設計が検証されていない場合、バックエンドWebアプリケーションに直接アクセスされてしまう可能性がある。同研究チームはこの脆弱性を実証するためにバークシャー・ハサウェイの子会社が所有するドメインに対し、20秒間のDoS攻撃を実行し成功した。

　WAFバイパスの脆弱性はビジネスクリティカルなWebアプリケーションに経済的壊滅をもたらす可能性がある。WAFは重要な防御メカニズムとして多くの大手企業で利用されているが、Zafran Securityは保護構造の実装が不十分なため無防備な状態にあると警告している。

　この問題には以下の緩和策が推奨されている。

• IPホワイトリスト：　CDNプロバイダーのIPアドレスからの受信接続に対してオリジンサーバへのアクセスを制限する。ただしこの緩和策は完全ではなく、回避する方法が発見された
• カスタムHTTPヘッダ内の事前共有シークレット：　CDNによって設定されたカスタムHTTPヘッダに設定された事前共有シークレットを使い、オリジンサーバへのアクセスを制限する。ただしこの緩和策は共有シークレットを定期的に手動でローテーションする必要がある
• クライアント証明書（mTLS）の導入：　CDNはオリジンサーバの公開署名付き証明書を検証し、サーバはCDNが使用するクライアント証明書を検証する。最も安全な方法とされているが、一般的なロードバランサーソリューションはmTLSをサポートしていないため導入にはカスタムツールが必要な場合がある

　Zafran Securityは推奨されているベストプラクティスを迅速に実装し、WAFバイパスのリスクを軽減するよう強調している。