Bloqueando ataque de fuerza bruta MySQL - IMPERVA DBF

En este post les quiero compartir la forma en como el DBF de Imperva puede bloquear ataques de fuerza bruta al login de MySQL, esto es gracias a la política SQL Correlation Policy.

ATAQUE

Para simular este ataque podemos usar Metasploit en Kali Linux, para ello vamos a:

# msfconsole 

# use auxiliary/scanner/mysql/mysql_login
 
# set USERNAME (aquí definimos un usuario o una lista con USER_FILE) 

# set PASS_FILE (aquí definidos la lista de contraseñas que se usaran para los intentos de autenticación) 

# set RHOSTS 10.0.11.31 (aquí definimos la dirección IP de la base de datos o una RED) 

# run (ejecutamos el ataque)

Quedando de la siguiente forma:

En este caso el usuario definido fue "veda_app" y la contraseña para este ejemplo se encuentra en la lista "rockyou-100.txt".

Como se puede apreciar en la imagen el ataque terminó de forma exitosa y la contraseña encontrada es "P@ssw0rd".

ANÁLISIS

Como la política que debería haber bloqueado el ataque es una política de seguridad tendremos que ir a Main > Monitor > Violations para poder revisar lo que Imperva detectó.

En este caso se observá que se detectó la violación de seguridad "Excessive Attempts of Database Login", qué además muestra en el detalle lo siguiente:

Como la política se encuentra aplicada por defecto no bloqueó el ataque, también desde detalles se puede observar que la cantidad de intentos fallidos es de tres. En este caso se enviaron más de 100 contraseñas en un par de segundos.

BLOQUEO

Modificamos la política de seguridad en Main > Policy > Security.

En este caso se seleccionó la acción de "action" en "block" y el "Followed Action" en "Terminate Session", este último aplica acciones como terminar la sessión, bloquear la cuenta de usuario o la dirección IP por un determinado tiempo (configurable).

Como se puede apreciar en la imagen anterior el ataque ya no tiene el mismo impacto.

Finalmente, se puede apreciar en el detalle de la violación que el ataque fue bloqueado.

Saludos.