新聞

多家依賴 CDN 業者提供 WAF 服務的企業用戶因設定不當暴露於資安威脅

2024 / 12 / 06
編輯部
多家依賴 CDN 業者提供 WAF 服務的企業用戶因設定不當暴露於資安威脅
許多依賴 CDN 業者提供 WAF 服務的企業組織,可能因設定不當而暴露於資安威脅中。

研究顯示,使用 CDN 業者所提供的 WAF(網站應用程式防火牆)服務的組織中,有不少因常見的錯誤設定,導致其後端伺服器直接暴露在網際網路上,成為攻擊者的目標。

根據資安研究公司近期的調查指出,這個問題已相當普遍,約 40% 的財星百大企業在使用 CDN 供應商提供的WAF服務時都受到影響。研究團隊發現,包括 Chase、Visa、Intel、Berkshire Hathaway和UnitedHealth 等知名企業,都可能遭受此類資安攻擊威脅。

WAF 常見問題

WAF 扮演使用者與網頁應用程式間的中介角色,負責檢查流量中的潛在威脅,並阻擋或過濾可疑內容及已知的惡意活動模式。近年來,許多組織部署 WAF 來保護尚未完成修補的網頁應用程式漏洞。

企業組織可以透過多種方式部署 WAF:可在本地端以實體或虛擬設備形式建置,或選擇雲端式與主機型 WAF 服務。根據研究,在財星前 1,000 大企業中,有 135 家企業的 2,028 個網域出現設定問題。這些網域中至少有一台應受 WAF 保護的伺服器可直接從網際網路存取,讓攻擊者有機會發動 DDoS 攻擊、散布勒索軟體,或執行其他惡意行為。

雖然這類錯誤設定主要是 CDN/WAF 服務客戶端的責任,但 CDN 業者也需負擔部分責任。原因在於業者未提供完善的風險防範措施,且其網路架構與服務設計未能有效預防此類錯誤設定。

問題核心在於企業組織未對後端主機(origin server)的網頁請求進行適當驗證。這些後端主機是用來儲存實際內容、應用程式及使用者資料的伺服器。

未落實來源端安全防護措施

在 CDN 整合式的 WAF 服務中,CDN 供應商將 WAF 整合至其邊緣基礎設施。所有流向組織網站應用程式的流量,都必須先經過 CDN 的 WAF,也就是供應商邊緣網路中的反向代理伺服器(reverse proxy)。反向代理負責識別網頁請求所需的後端伺服器或資源,並以加密方式將請求轉導至目標位置。

根據最佳實務,後端伺服器的 IP 位址應僅限客戶與 CDN 供應商知悉。CDN 供應商應建議組織實施 IP 過濾機制,確保只有來自 CDN 供應商 IP 位址範圍的請求能存取後端伺服器。此外,建議採用兩項額外的驗證機制:使用預共享金鑰(pre-shared key)作為驗證方式,以及實施雙向 TLS 驗證(mutual TLS)來確認源站伺服器與 CDN 供應商反向代理伺服器的身分。

若正確執行這些防護措施,確實能有效保護後端伺服器。然而,研究發現許多組織並未採用任何建議的驗證機制,導致後端伺服器直接暴露在網際網路上。

本文轉載自 DarkReading。