【安全资讯】利用CDN集成的WAF绕过威胁全球网络应用

概要：

近期，Zafran研究团队披露了一项影响全球最大网络应用防火墙（WAF）供应商的广泛配置错误漏洞。这些供应商包括Akamai、Cloudflare、Fastly和Imperva，合计保护了90%的全球网络应用。此漏洞的存在不仅令人担忧，还可能对企业造成重大损失。

主要内容：

Zafran的报告指出，该配置错误源于WAF供应商与内容交付网络（CDN）服务集成时的架构弱点。攻击者可以利用这一缺陷绕过WAF保护，直接攻击后端服务器，暴露于分布式拒绝服务（DDoS）攻击或网络应用的其他漏洞中。研究显示，约36,000个后端服务器因这一配置错误而直接暴露在互联网上，涉及8,000个域名，影响了近40%的财富100强公司。

金融服务行业受到的影响尤为严重，占受影响公司的三分之一。尤其是使用Akamai服务的公司更为脆弱，尽管Akamai仅覆盖42%的财富1000强域名，却占到59%的受影响公司。攻击者可以通过识别后端原始服务器的IP地址，完全绕过CDN，利用错误配置的原始服务器设置进行攻击。

Zafran的团队模拟了对暴露原始服务器的DDoS攻击，结果显示即使请求通过CDN路由，服务也会出现明显中断。报告警告称，组织良好的攻击者可以创建僵尸网络，利用数万台机器的带宽和计算能力，发起更强大的DDoS攻击。为应对这些漏洞，Zafran建议实施IP过滤、使用自定义HTTP头以及确保相互TLS认证等最佳实践，以增强安全性。