Log de alterações das regras gerenciadas da AWS

Lançada a versão estática 1.16 desse grupo de regras.

Assinaturas de detecção aprimoradas para as regras de script entre sites.

Novas regras:

Regras excluídas.

Novos rótulos:

Rotulagem adicional nas regras existentes.

Lançamento das versões estáticas 2.0 e 3.0 deste grupo de regras. A versão 2.0 é igual à versão 3.0, mas com ações de regras para todas as novas regras definidas como Count. Este guia documenta a versão mais recente de cada grupo de regras.

Foram adicionadas as novas regras listadas.

Rotulagem atualizada para que todas as regras apliquem um rótulo com o padrão awswaf:managed:aws:bot-control:<RuleName>.

Foram adicionados rótulos de provedores de serviços em nuvem aos rótulos de sinal do Controle de Bots.

Foram adicionados novos rótulos de nomes de bots que são inspecionados pelas regras da categoria de bots.

Todas as regras

Lançada a versão estática 1.1 deste grupo de regras.

Rotulagem atualizada para que todas as regras apliquem um rótulo com o padrão awswaf:managed:aws:atp:<RuleName>.

Todas as regras

Lançada a versão estática 1.1 deste grupo de regras.

Rotulagem atualizada para que todas as regras apliquem um rótulo com o padrão awswaf:managed:aws:acfp:<RuleName>.

Todas as regras

Lançada a versão estática 2.5 desse grupo de regras.

Assinaturas adicionadas para melhorar a detecção.

Lançada a versão estática 1.15 desse grupo de regras.

Assinaturas de detecção aprimoradas para as regras genéricas de LFI.

Lançada a versão estática 2.3 desse grupo de regras.

Assinaturas de detecção ajustadas nas regras listadas para reduzir os falsos positivos.

Lançamento da versão estática 1.3 deste grupo de regras.

A transformação de texto JS_DECODE foi adicionada à regra listada.

Lançada a versão estática 2.4 desse grupo de regras.

A transformação de texto JS_DECODE foi adicionada à regra listada.

Lançamento da versão estática 1.14 deste grupo de regras.

A transformação de texto JS_DECODE foi adicionada às regras listadas.

Lançada a versão estática 2.1 desse grupo de regras.

A transformação de texto JS_DECODE foi adicionada às regras listadas.

Lançada a versão estática 2.2 desse grupo de regras.

A transformação de texto JS_DECODE foi adicionada às regras listadas.

Todas as regras

Lançada a versão estática 2.3 desse grupo de regras.

Assinaturas adicionadas para melhorar a detecção.

Grupo de regras do Controle de Bots do AWS WAF

Grupo de regras de prevenção contra apropriação de contas (ATP) do AWS WAF Fraud Control

Grupo de regras de prevenção contra fraude na criação de contas (ACFP) do AWS WAF Fraud Control

Os grupos de regras de bots e fraudes agora estão versionados. Se você estiver usando qualquer um desses grupos de regras, essa atualização não altera a forma como eles lidam com seu tráfego na web.

Essa atualização define a versão atual do grupo de regras para a versão estática 1.0 e define a versão padrão para apontar para ela.

Para obter mais informações sobre as regras gerenciadas versionadas, consulte o seguinte:

Lançada a versão estática 3.0 desse grupo de regras.

UNIXShellCommandsVariables_QUERYARGUMENTS removido e substituído por UNIXShellCommandsVariables_QUERYSTRING. Se você tiver regras que correspondam ao rótulo de UNIXShellCommandsVariables_QUERYARGUMENTS, ao usar esta versão, troque-as para que correspondam ao rótulo de UNIXShellCommandsVariables_QUERYSTRING. O novo rótulo é awswaf:managed:aws:posix-os:UNIXShellCommandsVariables_QueryString.

Foi adicionada a regra UNIXShellCommandsVariables_HEADER, que corresponde a todos os cabeçalhos.

Todas as regras do grupo de regras gerenciadas foram atualizadas com uma lógica de detecção aprimorada.

Foi corrigida a capitalização documentada do rótulo para UNIXShellCommandsVariables_BODY.

Lançamento da versão estática 1.12 deste grupo de regras.

Adição de assinaturas para todas as regras de Cross-Site Scripting para aprimorar a detecção e reduzir os falsos positivos.

Lançamento da versão estática 1.2 deste grupo de regras.

A transformação de texto JS_DECODE foi adicionada às regras listadas.

Lançamento da versão estática 1.22 deste grupo de regras.

A transformação de texto JS_DECODE foi adicionada às regras listadas.

Lançada a versão estática 2.2 desse grupo de regras.

A transformação de texto JS_DECODE foi adicionada a ambas as regras.

Lançada a versão estática 2.1 desse grupo de regras.

Assinaturas adicionadas ao PowerShellCommands_BODY para melhorar a detecção.

As fontes da lista de reputação de IP foram atualizadas para melhorar a identificação de endereços que estão ativamente envolvidos em atividades maliciosas e reduzir os falsos positivos.

Essa atualização não envolve uma nova versão porque esse grupo de regras não tem versão.

Lançamento da versão estática 1.21 deste grupo de regras.

Adição de assinaturas para aprimorar a detecção e reduzir os falsos positivos.

Lançamento da versão estática 1.20 deste grupo de regras.

Atualização da regra ExploitablePaths_URIPATH para adicionar detecção para solicitações que correspondem à vulnerabilidade de autorização inadequada (CVE-2023-22518) do Confluence da Atlassian. Esta vulnerabilidade afeta todas as versões do Confluence Data Center e do Confluence Server. Para obter mais informações, consulte NIST: National Vulnerability Database: CVE-2023-22518 Detail.

Lançamento da versão estática 1.11 deste grupo de regras.

Adição de assinaturas para todas as regras de Cross-Site Scripting para aprimorar a detecção e reduzir os falsos positivos.

Adição do rótulo de baixa atividade coordenada aos rótulos de nível de proteção direcionados do grupo de regras. Este rótulo não está associado a nenhuma regra. Esta rotulagem corresponde a um complemento às regras e aos rótulos de médio e de alto nível.

Adição de um rótulo de sinalização ao grupo de regras que indica a detecção de uma extensão para navegador que auxilia na automação. Este rótulo não é específico para uma regra individual.

Lançada a versão estática 1.10 desse grupo de regras.

Uma regra foi atualizada para melhorar a detecção e reduzir os falsos positivos.

Lançada a versão estática 1.9 desse grupo de regras.

Regras atualizadas para melhorar a detecção e reduzir os falsos positivos.

Lançada a versão estática 2.1 desse grupo de regras.

A regra de argumentos de consulta foi atualizada para melhorar a detecção.

Lançada a versão estática 1.8 desse grupo de regras.

Regras atualizadas para melhorar a detecção.

Implantação de exceção: lançada a versão estática 1.19 desse grupo de regras. A versão padrão foi atualizada para usar a versão 1.19.

A regra ExploitablePaths_URIPATH foi atualizada para adicionar detecção para solicitações que correspondam à vulnerabilidade de escalonamento de privilégios do Atlassian Confluence CVE-2023-22515. Essa vulnerabilidade afeta algumas versões do Atlassian Confluence. Para obter mais informações, consulte NIST: National Vulnerability Database: CVE-2023-22515 Detail e Atlassian Support: FAQ for CVE-2023-22515.

Para obter mais informações sobre esse tipo de implantação, consulte Implantações de exceções para regras gerenciadas da AWS.

Implantação de exceção: lançada a versão estática 1.18 desse grupo de regras. Esse é um lançamento rápido dessa versão estática para acomodar a criação e o lançamento da versão 1.19.

A regra Host_localhost_HEADER e todas as regras de desserialização do Log4J e do Java foram atualizadas para melhorar a detecção.

Para obter mais informações sobre esse tipo de implantação, consulte Implantações de exceções para regras gerenciadas da AWS.

Regras adicionadas ao grupo de regras com ação Count.

A regra de IP de reutilização de tokens detecta e conta o compartilhamento de tokens entre endereços IP.

As regras de atividades coordenadas usam análise automatizada de machine learning (ML) do tráfego do site para detectar atividades relacionadas a bots. Na configuração do grupo de regras, você pode cancelar o uso de ML. Com esta versão, os clientes que atualmente usam o nível de proteção direcionado optam pelo uso de ML. A desativação desativa as regras de atividades coordenadas.

A regra CategoryAI foi adicionada ao grupo de regras.

Lançada a versão estática 1.7 desse grupo de regras.

Atualizadas as extensões restritas e regras SSRF de metadados do EC2 para melhorar a detecção e reduzir os falsos positivos.

Todas as regras no novo grupo de regras

Lançada a versão estática 2.2 desse grupo de regras.

Assinaturas adicionadas para melhorar a detecção.

Lançada a versão estática 1.6 desse grupo de regras.

O cross-site scripting (XSS) e as regras de extensão restritas foram atualizados para melhorar a detecção e reduzir os falsos positivos.

Lançada a versão estática 2.0 desse grupo de regras.

Assinaturas adicionadas para melhorar a detecção em todas as regras.

A regra PHPHighRiskMethodsVariables_QUERYARGUMENTS foi substituída por PHPHighRiskMethodsVariables_QUERYSTRING, que inspeciona toda a sequência de caracteres de consulta em vez de apenas os argumentos da consulta.

Foi adicionada a regra PHPHighRiskMethodsVariables_HEADER para expandir a cobertura para incluir todos os cabeçalhos.

Os rótulos a seguir foram atualizados para se alinharem com o rótulo padrão das regras gerenciadas da AWS:

Foram adicionadas regras de inspeção de respostas de login para uso com distribuições protegidas do Amazon CloudFront. Essas regras podem bloquear novas tentativas de login de endereços IP e sessões de clientes que recentemente foram a fonte de muitas tentativas de login malsucedidas.

Lançada a versão estática 1.5 desse grupo de regras.

Filtros de Cross Site Scripting (XSS) atualizados para melhorar a detecção.

Lançada a versão estática 2.1 desse grupo de regras.

A regra LFI_COOKIE e seu rótulo awswaf:managed:aws:linux-os:LFI_Cookie foram removidos e substituídos pela nova regra LFI_HEADER e seu rótulo awswaf:managed:aws:linux-os:LFI_Header. Essa alteração expande a inspeção para vários cabeçalhos.

Foram adicionadas transformações de texto e assinaturas a todas as regras para melhorar a detecção.

Lançada a versão estática 1.4 desse grupo de regras.

Foi adicionada uma transformação de texto para NoUserAgent_HEADER para remover todos os bytes nulos. Filtros nas regras de Cross Site Scripting (XSS) atualizados para melhorar a detecção.

Lançada a versão estática 1.17 desse grupo de regras.

As regras de desserialização de Java foram atualizadas para adicionar detecção de solicitações correspondentes ao CVE-2022-42889 da Apache, uma vulnerabilidade de execução remota de código (RCE) nas versões do Apache Commons Text anteriores à 1.10.0. Para obter mais informações, consulte NIST: National Vulnerability Database: CVE-2022-42889 Detail e CVE-2022-42889: Apache Commons Text prior to 1.10.0 allows RCE when applied to untrusted input due to insecure interpolation defaults.

Detecção aprimorada em Host_localhost_HEADER.

Lançada a versão estática 1.16 desse grupo de regras.

Foram removidos os falsos positivos identificados pela AWS na versão 1.15.

Grupo de regras gerenciadas do sistema operacional POSIX

Grupo de regras gerenciadas do aplicativo PHP

Grupo de regras gerenciadas de aplicativo do WordPress

Foram corrigidos os nomes dos rótulos documentados.

Essa alteração não altera a forma como o grupo de regras lida com o tráfego da web.

Foi adicionada uma nova regra com a ação Count de inspecionar endereços IP que estão ativamente envolvidos em atividades de DDoS, de acordo com a inteligência de ameaças da Amazon.

Lançada a versão estática 1.15 desse grupo de regras.

Log4JRCE foi removido e substituído por Log4JRCE_HEADER, Log4JRCE_QUERYSTRING, Log4JRCE_URI e Log4JRCE_BODY, para um monitoramento e gerenciamento mais granulares de falsos positivos.

Assinaturas adicionadas para melhorar a detecção e o bloqueio de PROPFIND_METHOD e para todas as regras JavaDeserializationRCE* e Log4JRCE*.

Rótulos atualizados para corrigir a capitalização em Host_localhost_HEADER e em todas as regras JavaDeserializationRCE*.

Corrigida a descrição de JavaDeserializationRCE_HEADER.

Foi adicionada uma regra para impedir o uso do grupo de regras gerenciadas de prevenção de apropriação de contas para o tráfego da web do grupo de usuários do Amazon Cognito.

A AWS tem expiração programada para as versões Version_1.2 e Version_2.0 do grupo de regras. As versões expirarão em 9 de setembro de 2022. Para obter informações sobre a expiração da versão, consulte Como usar grupos versionados de regras gerenciadas no AWS WAF.

Lançada a versão 1.3 desse grupo de regras. Essa versão atualiza as assinaturas de correspondências nas regras GenericLFI_URIPATH e GenericRFI_URIPATH, para melhorar a detecção.

A regra CategoryEmailClient foi adicionada ao grupo de regras.

Lançada a versão 1.14 desse grupo de regras. As quatro regras JavaDeserializtionRCE são movidas para o modo Block.

Lançada a versão 1.13 desse grupo de regras. A transformação de texto foi atualizada para as vulnerabilidades do Spring Core e do Cloud Function RCE. Essas regras estão no modo de contagem para coletar métricas e avaliar padrões correspondentes. O rótulo pode ser usado para bloquear solicitações em uma regra personalizada. Uma versão subsequente será implantada com essas regras no modo de bloqueio.

Lançada a versão 1.12 desse grupo de regras. Assinaturas adicionadas para as vulnerabilidades do Spring Core e do Cloud Function RCE. Essas regras estão no modo de contagem para coletar métricas e avaliar padrões correspondentes. O rótulo pode ser usado para bloquear solicitações em uma regra personalizada. Uma versão subsequente será implantada com essas regras no modo de bloqueio.

As regras Log4JRCE_HEADER, Log4JRCE_QUERYSTRING, Log4JRCE_URI e Log4JRCE_BODY foram removidas e substituídas pela regra Log4JRCE.

Todas as regras no novo grupo de regras

Lançada a versão 1.9 desse grupo de regras. A regra Log4JRCE foi removida e substituída pelas regras Log4JRCE_HEADER, Log4JRCE_QUERYSTRING, Log4JRCE_URI e Log4JRCE_BODY, para flexibilidade no uso dessa funcionalidade. Assinaturas adicionadas para melhorar a detecção e o bloqueio.

Lançada a versão 2.0 desse grupo de regras. Para essas regras, sintonize as assinaturas de detecção para reduzir os falsos positivos. A transformação de texto URL_DECODE foi substituída pela transformação de texto duplo URL_DECODE_UNI. Foi adicionada a transformação de texto HTML_ENTITY_DECODE.

Como parte do lançamento da versão 2.0 desse grupo de regras, foi adicionada a transformação de texto URL_DECODE_UNI. Removida a transformação de texto URL_DECODE de RestrictedExtensions_URIPATH.

Lançada a versão 2.0 desse grupo de regras. A transformação de texto URL_DECODE foi substituída pela transformação de texto duplo URL_DECODE_UNI e a transformação de texto COMPRESS_WHITE_SPACE foi adicionada.

Mais assinaturas de detecção foram adicionadas a SQLiExtendedPatterns_QUERYARGUMENTS.

Inspeção de JSON adicionada a SQLi_BODY.

A regra SQLiExtendedPatterns_BODY foi adicionada.

A regra SQLi_URIPATH foi removida.

Lançada a versão 1.8 da regra Log4JRCE para melhorar a inspeção de cabeçalhos e os critérios de correspondência.

Lançada a versão 1.4 da regra Log4JRCE para ajustar os critérios de correspondência e inspecionar cabeçalhos adicionais. Lançada a versão 1.5 para ajustar os critérios de correspondência.

Foi adicionada a versão 1.2 da regra Log4JRCE em resposta ao problema de segurança recentemente divulgado no Log4j. Para obter mais informações, consulte o CVE-2021-44228. Essa regra inspeciona caminhos de URI comuns, strings de consulta, os primeiros 8 KB do corpo da solicitação e cabeçalhos comuns. A regra usa transformações duplas de texto URL_DECODE_UNI. Lançada a versão 1.3 de Log4JRCE para ajustar os critérios de correspondência e inspecionar cabeçalhos adicionais.

A regra BadAuthToken_COOKIE_AUTHORIZATION foi removida.

AWSManagedReconnaissanceList

WindowsShellCommands

PowerShellCommands

Foram adicionadas três novas regras para comandos do WindowsShell: WindowsShellCommands_COOKIE, WindowsShellCommands_QUERYARGUMENTS e WindowsShellCommands_BODY.

Foi adicionada uma nova regra do PowerShell: PowerShellCommands_COOKIE.

A nomenclatura das regras PowerShellComands foi reestruturada com a remoção das strings _Set1 e _Set2.

Adicionadas assinaturas de detecção mais abrangentes a PowerShellRules.

Adicionada a transformação de texto URL_DECODE_UNI a todas as regras do sistema operacional Windows.

LFI_URIPATH

LFI_QUERYSTRING

LFI_BODY

LFI_COOKIE

Substituída a transformação dupla de texto URL_DECODE por URL_DECODE_UNI dupla.

Adicionado NORMALIZE_PATH_WIN como uma segunda transformação de texto.

Substituída a regra LFI_BODY pela regra LFI_COOKIE.

Foram adicionadas assinaturas de detecção mais abrangentes para todas as regras LFI.

SizeRestrictions_BODY

EC2MetaDataSSRF_BODY

EC2MetaDataSSRF_COOKIE

EC2MetaDataSSRF_URIPATH

EC2MetaDataSSRF_QUERYARGUMENTS

GenericLFI_QUERYARGUMENTS

GenericLFI_URIPATH

RestrictedExtensions_URIPATH

RestrictedExtensions_QUERYARGUMENTS

GenericRFI_QUERYARGUMENTS

GenericRFI_BODY

GenericRFI_URIPATH

Todas as regras

AWSManagedIPReputationList_xxxx

AnonymousIPList

HostingProviderList

GenericRFI_QUERYARGUMENTS

RestrictedExtensions_URIPATH

AdminProtection_URIPATH

ExploitablePaths_URIPATH

LFI_QUERYARGUMENTS

PHPHighRiskMethodsVariables_QUERYARGUMENTS

PHPHighRiskMethodsVariables_BODY

UNIXShellCommandsVariables_QUERYARGUMENTS

UNIXShellCommandsVariables_BODY

GenericLFI_QUERYARGUMENTS

GenericLFI_URIPATH

GenericLFI_BODY

LFI_URIPATH

LFI_QUERYARGUMENTS

LFI_BODY

WordPressExploitableCommands_QUERYSTRING

SizeRestrictions_QUERYSTRING

SizeRestrictions_Cookie_HEADER

SizeRestrictions_BODY

SizeRestrictions_URIPATH

SQLi_URIPATH

SQLi_BODY

SQLi_QUERYARGUMENTS

SQLi_COOKIE

CrossSiteScripting_URIPATH

CrossSiteScripting_BODY

CrossSiteScripting_QUERYARGUMENTS

CrossSiteScripting_COOKIE