多家依賴 CDN 業者提供 WAF 服務的企業用戶因設定不當暴露於資安威脅

2024 / 12 / 06

編輯部

許多依賴 CDN 業者提供 WAF 服務的企業組織，可能因設定不當而暴露於資安威脅中。

研究顯示，使用 CDN 業者所提供的 WAF（網站應用程式防火牆）服務的組織中，有不少因常見的錯誤設定，導致其後端伺服器直接暴露在網際網路上，成為攻擊者的目標。

根據資安研究公司近期的調查指出，這個問題已相當普遍，約 40% 的財星百大企業在使用 CDN 供應商提供的WAF服務時都受到影響。研究團隊發現，包括 Chase、Visa、Intel、Berkshire Hathaway和UnitedHealth 等知名企業，都可能遭受此類資安攻擊威脅。

WAF 常見問題

WAF 扮演使用者與網頁應用程式間的中介角色，負責檢查流量中的潛在威脅，並阻擋或過濾可疑內容及已知的惡意活動模式。近年來，許多組織部署 WAF 來保護尚未完成修補的網頁應用程式漏洞。

企業組織可以透過多種方式部署 WAF：可在本地端以實體或虛擬設備形式建置，或選擇雲端式與主機型 WAF 服務。根據研究，在財星前 1,000 大企業中，有 135 家企業的 2,028 個網域出現設定問題。這些網域中至少有一台應受 WAF 保護的伺服器可直接從網際網路存取，讓攻擊者有機會發動 DDoS 攻擊、散布勒索軟體，或執行其他惡意行為。

雖然這類錯誤設定主要是 CDN/WAF 服務客戶端的責任，但 CDN 業者也需負擔部分責任。原因在於業者未提供完善的風險防範措施，且其網路架構與服務設計未能有效預防此類錯誤設定。

問題核心在於企業組織未對後端主機（origin server）的網頁請求進行適當驗證。這些後端主機是用來儲存實際內容、應用程式及使用者資料的伺服器。

未落實來源端安全防護措施

在 CDN 整合式的 WAF 服務中，CDN 供應商將 WAF 整合至其邊緣基礎設施。所有流向組織網站應用程式的流量，都必須先經過 CDN 的 WAF，也就是供應商邊緣網路中的反向代理伺服器（reverse proxy）。反向代理負責識別網頁請求所需的後端伺服器或資源，並以加密方式將請求轉導至目標位置。

根據最佳實務，後端伺服器的 IP 位址應僅限客戶與 CDN 供應商知悉。CDN 供應商應建議組織實施 IP 過濾機制，確保只有來自 CDN 供應商 IP 位址範圍的請求能存取後端伺服器。此外，建議採用兩項額外的驗證機制：使用預共享金鑰（pre-shared key）作為驗證方式，以及實施雙向 TLS 驗證（mutual TLS）來確認源站伺服器與 CDN 供應商反向代理伺服器的身分。

若正確執行這些防護措施，確實能有效保護後端伺服器。然而，研究發現許多組織並未採用任何建議的驗證機制，導致後端伺服器直接暴露在網際網路上。

本文轉載自 DarkReading。

WAF CDN origin server reverse proxy