歡迎登入資安人
若您還不是會員,請點選下方加入會員
忘記密碼
加入資安人會員
登入
新聞
觀點
專題
解決方案
活動
訂閱電子報
資安人粉絲團
聯絡我們
關於我們
合作詢問
隱私權政策
香港商法蘭克福展覽有限公司台灣傳媒分公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
新聞
觀點
專題
解決方案
活動
訂閱電子報
登入
登入
訂閱電子報
新聞
觀點
專題
解決方案
活動
新聞
您現在位置 : 首頁 >
新聞
多家依賴 CDN 業者提供 WAF 服務的企業用戶因設定不當暴露於資安威脅
2024 / 12 / 06
編輯部
許多依賴 CDN 業者提供 WAF 服務的企業組織,可能因設定不當而暴露於資安威脅中。
研究顯示,使用 CDN 業者所提供的 WAF(網站應用程式防火牆)服務的組織中,有不少因常見的錯誤設定,導致其後端伺服器直接暴露在網際網路上,成為攻擊者的目標。
根據資安研究公司近期的調查指出,這個問題已相當普遍,約 40% 的財星百大企業在使用 CDN 供應商提供的WAF服務時都受到影響。研究團隊發現,包括 Chase、Visa、Intel、Berkshire Hathaway和UnitedHealth 等知名企業,都可能遭受此類資安攻擊威脅。
WAF 常見問題
WAF 扮演使用者與網頁應用程式間的中介角色,負責檢查流量中的潛在威脅,並阻擋或過濾可疑內容及已知的惡意活動模式。近年來,許多組織部署 WAF 來保護尚未完成修補的網頁應用程式漏洞。
企業組織可以透過多種方式部署 WAF:可在本地端以實體或虛擬設備形式建置,或選擇雲端式與主機型 WAF 服務。根據研究,在財星前 1,000 大企業中,有 135 家企業的 2,028 個網域出現設定問題。
這些網域中至少有一台應受 WAF 保護的伺服器可直接從網際網路存取,讓攻擊者有機會發動 DDoS 攻擊、散布勒索軟體,或執行其他惡意行為。
雖然這類錯誤設定主要是 CDN/WAF 服務客戶端的責任,但 CDN 業者也需負擔部分責任。原因在於業者未提供完善的風險防範措施,且其網路架構與服務設計未能有效預防此類錯誤設定。
問題核心在於企業組織未對後端主機(origin server)的網頁請求進行適當驗證。這些後端主機是用來儲存實際內容、應用程式及使用者資料的伺服器。
未落實來源端安全防護措施
在 CDN 整合式的 WAF 服務中,CDN 供應商將 WAF 整合至其邊緣基礎設施。所有流向組織網站應用程式的流量,都必須先經過 CDN 的 WAF,也就是供應商邊緣網路中的反向代理伺服器(reverse proxy)。反向代理負責識別網頁請求所需的後端伺服器或資源,並以加密方式將請求轉導至目標位置。
根據最佳實務,後端伺服器的 IP 位址應僅限客戶與 CDN 供應商知悉。
CDN 供應商應建議組織實施 IP 過濾機制,確保只有來自 CDN 供應商 IP 位址範圍的請求能存取後端伺服器。
此外,建議採用兩項額外的驗證機制:使用預共享金鑰(pre-shared key)作為驗證方式,以及實施雙向 TLS 驗證(mutual TLS)來確認源站伺服器與 CDN 供應商反向代理伺服器的身分。
若正確執行這些防護措施,確實能有效保護後端伺服器。然而,研究發現許多組織並未採用任何建議的驗證機制,導致後端伺服器直接暴露在網際網路上。
本文轉載自 DarkReading。
WAF
CDN
origin server
reverse proxy
最新活動
2025.01.17
『Varonis SaaS 自動化資料安全平台』與『ForestSafe 特權帳號管理軟體』網路研討會
2025.02.15
2025年ipas資訊安全工程師(初級/中級)-能力培訓班
看更多活動
大家都在看
Ivanti VPN 再爆零日漏洞!駭客組織已利用來進行網路間諜活動
中小企業常見的資安迷思與最佳實踐
新型 Mirai 殭屍網路利用零時差漏洞攻擊知名品牌路由器、智慧家庭設備
Dell、HPE 與聯發科發布漏洞修補
HPE Aruba Networking 發布2025年五大網路安全發展趨勢
資安人科技網
文章推薦
Ivanti VPN 再爆零日漏洞!駭客組織已利用來進行網路間諜活動
Palo Alto、SonicWall與Aviatrix修補多個重大安全漏洞
中國APT組織持續竊取日本機密 專家:恐為未來衝突預作準備