חומת האש של יישום האינטרנט (WAF) של Akamai נועדה להדוף התקפות פוטנציאליות כמו מניעת שירות מבוזרת (DDoS), אך חוקר גילה דרך לעקוף את ההגנות שלה על ידי שימוש במטענים מורכבים כדי לבלבל את הכללים שלה.
החוקר, המכונה פיטר ה., יחד עם אוסמן מנשה, אמר כי אקאמאי תקן מאז את הפגיעות, שלא הוקצה לה מספר CVE. בכתבה, פיטר ה' הסביר כיצד השתמש בגרסה פגיעה של מגף אביב לעקוף הגנות WAF.
"בסופו של דבר הצלחנו לעקוף את Akamai WAF ולהשיג ביצוע קוד מרחוק (P1) באמצעות הזרקת Spring Expression Language באפליקציה שמריצה Spring Boot", ההסבר של GitHub של Akamai WAF RCE למצוא מוסבר. "זה היה ה-RCE השני דרך SSTI שמצאנו בתוכנית הזו, אחרי הראשון, התוכנית הטמיעה WAF אותו הצלחנו לעקוף בחלק אחר של האפליקציה."
עוד מ קריאה אפלה
שחקן האיום משתמש לרעה בתכונת הקישורים החכמים של לינקדאין כדי לאסוף כרטיסי אשראי
צומת המקור: 1672749
בול זמן: ספטמבר 21, 2022
באגים ב-Manarium Play-to-Earn Platform מציגים חוסר ביטחון קריפטו-משחקים
צומת המקור: 1825854
בול זמן: אפריל 14, 2023
דוח המגמות של ReasonLabs קיץ 2023 חושף את איומי אבטחת הצרכנים המובילים
צומת המקור: 1883857
בול זמן: ספטמבר 1, 2023
צפון קוריאה מתייצבת כמטא לפרוס דלת אחורית מורכבת בארגון התעופה והחלל
צומת המקור: 1897562
בול זמן: אוקטובר 2, 2023
שחקן מקושר לסין מקיש על דלת האחורית של לינוקס בקמפיין ריגול כוחני
צומת המקור: 1891837
בול זמן: ספטמבר 19, 2023
אנחנו יכולים להציל צוותי אבטחה מעומסי עבודה מוחצים. האם אנו?
צומת המקור: 1724219
בול זמן: אוקטובר 7, 2022
תיקון עכשיו: באגים קריטיים אטלסיאניים מסכנים אפליקציות ארגוניות
צומת המקור: 1922084
בול זמן: דצמבר 6, 2023
פלטפורמת בינה מלאכותית מחבקת פנים עמוסה ב-100 דגמי ביצוע קוד זדוני
צומת המקור: 1952538
בול זמן: פבואר 29, 2024
