AWS Registro de cambios de reglas administradas

Se lanzó la versión estática 2.2 de este grupo de reglas.

Se han mejorado las detecciones y se ha añadido una regla. PHPHighRiskMethodsVariables_URIPATH

Reglas nuevas:

Publicada la versión 5.0 estática de este grupo de reglas.

Se han añadido más de 400 bots nuevos en varias categorías, incluidas dos nuevas categorías de bots con sus respectivas reglas: Page Preview y Webhooks.

Mejoras clave

Se mejoró la precisión de las señales de detección de bots y la coincidencia de patrones de bots genéricos, lo que permitió una clasificación del tráfico más precisa.

Esta actualización cambia la forma en que el grupo de reglas gestionado prioriza la detección de bots. Los patrones de bots específicos no verificados ahora se evalúan antes que los patrones genéricos y las señales de detección. Esto significa que es más probable que las solicitudes se clasifiquen en función de sus características más específicas que de indicadores genéricos.

Qué significa esto para su tráfico:

El patrón genérico de los bots ahora coincidirá con menos frecuencia. Estos patrones solo se aplican cuando ninguna regla de bot más específica ya ha identificado el tráfico. Esto reduce la sobreclasificación y garantiza que las solicitudes se etiqueten con la identificación de bots más precisa disponible.

Las señales de detección, como los indicadores de que una solicitud proviene de un proveedor de servicios en la nube, de un centro de datos de bots conocido o de que utiliza un agente de usuario ajeno a un navegador, ahora se aplican después de las reglas de identificación de bots. Esto garantiza que las clasificaciones de bots específicas tengan prioridad sobre las señales de tráfico genéricas.

Impacto:

Es posible que veas menos etiquetas para los patrones genéricos de bots en tus registros de tráfico, ya que las solicitudes ahora se clasifican con mayor precisión según reglas de bots específicas. Esto proporciona una visión más clara de la naturaleza real del tráfico automatizado y reduce el ruido que provoca una coincidencia de patrones demasiado amplia. Las clasificaciones de bots no verificadas serán más destacadas y precisas, lo que le ayudará a comprender y gestionar mejor las solicitudes automatizadas a sus aplicaciones.

Nota: Esta versión incluye las actualizaciones de awswaf:managed:aws:bot-control:bot:web_bot_auth etiquetas y reglas de la versión 4.0, pero la Web Bot Auth funcionalidad solo está disponible en esta versión. CloudFront

Publicada la versión estática 3.2 de este grupo de reglas.

Se han mejorado las firmas de detección para todas las reglas.

Publicada la versión estática 1.25 de este grupo de reglas.

Se actualizó ReactJSRCE_BODY para mejorar la detección.

Se publicó la versión estática 3.1 de este grupo de reglas.

Se han mejorado las firmas de detección para todas las reglas.

Publicada la versión estática 1.24 de este grupo de reglas.

Se actualizó ReactJSRCE_BODY para mejorar la detección.

Etiquetas nuevas:

Se implementó la nueva AWSManagedRulesBotControlRuleSet versión estática Version_4.0 con compatibilidad con la autenticación de bots web (WBA) para la verificación de bots criptográficos. Esta versión debe seleccionarse de forma explícita y no actualiza automáticamente las implementaciones existentes mediante la versión predeterminada.

Nuevas capacidades:

Actualizaciones de reglas:

Nuevas etiquetas de bots verificadas:

Publicidad:

OBJETIVO:

Buscador de contenido:

Redes sociales:

Mejoras clave:

Se lanzó la versión estática 1.20 de este grupo de reglas.

Se mejoraron las firmas de detección para las reglas de falsificación de solicitudes del lado del servidor (SSRF).

Publicada la versión estática 1.19 de este grupo de reglas.

Se mejoraron las firmas de detección para las reglas de script entre sitios.

Publicada la versión estática 1.18 de este grupo de reglas.

Se mejoraron las firmas de detección para las reglas de script entre sitios.

Etiquetas nuevas:

Publicada la versión estática 3.2 de este grupo de reglas.

Se agregaron las nuevas etiquetas enumeradas.

Se lanzó la versión estática 1.17 de este grupo de reglas.

Se mejoraron las firmas de detección para las reglas de script entre sitios.

Se lanzó la versión estática 1.3 de este grupo de reglas.

Se agregó la doble transformación de texto URL_DECODE_UNI a las reglas enumeradas.

Publicada la versión estática 2.6 de este grupo de reglas.

Se agregaron firmas para mejorar la detección.

Nueva etiqueta con el nombre del bot en las etiquetas de control de bots: awswaf:managed:aws:bot-control:bot::name:nytimes

Se publicó la versión estática 3.1 de este grupo de reglas.

Se agregó la etiqueta New York Times a la lista de etiquetas con los nombres de los bots.

Se lanzó la versión estática 1.16 de este grupo de reglas.

Se mejoraron las firmas de detección para las reglas de script entre sitios.

Reglas nuevas:

Reglas eliminadas:

Etiquetas nuevas:

Etiquetado adicional en las reglas existentes.

Se lanzaron las versiones estáticas 2.0 y 3.0 de este grupo de reglas. La versión 2.0 es la misma que la versión 3.0, pero con las acciones de regla para todas las reglas nuevas configuradas en Count. Esta guía documenta la versión más reciente de cada grupo de reglas.

Se agregaron las nuevas reglas enumeradas.

Se actualizó el etiquetado para que todas las reglas apliquen una etiqueta con el patrón awswaf:managed:aws:bot-control:<RuleName>.

Se agregaron etiquetas del proveedor de servicios en la nube a las etiquetas de señal de control de bots.

Se agregaron nuevas etiquetas con los nombres de los bots que se inspeccionan según las reglas de las categorías de bots.

Todas las reglas

Se lanzó la versión estática 1.1 de este grupo de reglas.

Se actualizó el etiquetado para que todas las reglas apliquen una etiqueta con el patrón awswaf:managed:aws:atp:<RuleName>.

Todas las reglas

Se lanzó la versión estática 1.1 de este grupo de reglas.

Se actualizó el etiquetado para que todas las reglas apliquen una etiqueta con el patrón awswaf:managed:aws:acfp:<RuleName>.

Todas las reglas

Se lanzó la versión estática 2.5 de este grupo de reglas.

Se agregaron firmas para mejorar la detección.

Se lanzó la versión estática 1.15 de este grupo de reglas.

Se mejoraron las firmas de detección para las reglas genéricas de LFI.

Se lanzó la versión estática 2.3 de este grupo de reglas.

Se ajustaron las firmas de detección en las reglas enumeradas para reducir los falsos positivos.

Se lanzó la versión estática 1.3 de este grupo de reglas.

Se agregó la transformación de texto JS_DECODE a la regla enumerada.

Se lanzó la versión estática 2.4 de este grupo de reglas.

Se agregó la transformación de texto JS_DECODE a la regla enumerada.

Se lanzó la versión estática 1.14 de este grupo de reglas.

Se agregó la transformación de texto JS_DECODE a las reglas enumeradas.

Se lanzó la versión estática 2.1 de este grupo de reglas.

Se agregó la transformación de texto JS_DECODE a las reglas enumeradas.

Se lanzó la versión estática 2.2 de este grupo de reglas.

Se agregó la transformación de texto JS_DECODE a las reglas enumeradas.

Todas las reglas

Se lanzó la versión estática 2.3 de este grupo de reglas.

Se agregaron firmas para mejorar la detección.

AWS WAF Grupo de reglas de control de bots

AWS WAF Grupo de reglas de prevención de apropiación de cuentas (ATP) para el control del fraude

AWS WAF Grupo de reglas de prevención del fraude (ACFP) para la creación de cuentas de Control de Fraude

Los grupos de reglas de bots y fraudes ahora cuentan con control de versiones. Si utiliza alguno de estos grupos de reglas, esta actualización no cambia la forma en que gestionan el tráfico web.

Esta actualización establece la versión actual del grupo de reglas en la versión estática 1.0 y establece la versión predeterminada para que la señale a ella.

Para obtener más información acerca de las reglas administradas con control de versiones, consulte lo siguiente:

Se lanzó la versión estática 3.0 de este grupo de reglas.

Se eliminó UNIXShellCommandsVariables_QUERYARGUMENTS y se reemplazó por UNIXShellCommandsVariables_QUERYSTRING. Si tiene reglas que coinciden en la etiqueta para UNIXShellCommandsVariables_QUERYARGUMENTS, cuando utilice esta versión, cámbielas para que coincidan con las de la etiqueta para UNIXShellCommandsVariables_QUERYSTRING. La nueva etiqueta es awswaf:managed:aws:posix-os:UNIXShellCommandsVariables_QueryString.

Se agregó la regla UNIXShellCommandsVariables_HEADER, que coincide con todos los encabezados.

Se actualizaron todas las reglas del grupo de reglas administradas con una lógica de detección mejorada.

Se corrigió el uso de mayúsculas documentado en la etiqueta para UNIXShellCommandsVariables_BODY.

Se lanzó la versión estática 1.12 de este grupo de reglas.

Se agregaron firmas a todas las reglas de scripts entre sitios para mejorar la detección y reducir los falsos positivos.

Se lanzó la versión estática 1.2 de este grupo de reglas.

Se agregó la transformación de texto JS_DECODE a las reglas enumeradas.

Se lanzó la versión estática 1.22 de este grupo de reglas.

Se agregó la transformación de texto JS_DECODE a las reglas enumeradas.

Se lanzó la versión estática 2.2 de este grupo de reglas.

Se agregó la transformación de texto JS_DECODE a ambas reglas.

Se lanzó la versión estática 2.1 de este grupo de reglas.

Se agregaron firmas a PowerShellCommands_BODY para mejorar la detección.

Se actualizaron los orígenes de la lista de reputación IP para mejorar la identificación de las direcciones que participan de forma activa en actividades maliciosas y reducir los falsos positivos.

Esta actualización no incluye una nueva versión porque este grupo de reglas no cuenta con control de versiones.

Se lanzó la versión estática 1.21 de este grupo de reglas.

Se agregaron firmas para mejorar la detección y reducir los falsos positivos.

Se lanzó la versión estática 1.20 de este grupo de reglas.

Se actualizó la regla ExploitablePaths_URIPATH para agregar la detección de las solicitudes que coincidan con la vulnerabilidad de autorización inadecuada CVE-2023-22518 de Atlassian Confluence. Esta vulnerabilidad afecta a todas las versiones del centro de datos y del servidor de Confluence. Para obtener más información, consulte NIST: National Vulnerability Database: CVE-2023-22518 Detail.

Se lanzó la versión estática 1.11 de este grupo de reglas.

Se agregaron firmas a todas las reglas de scripts entre sitios para mejorar la detección y reducir los falsos positivos.

Se agregó la etiqueta de actividad coordinada baja a las etiquetas de nivel de protección específicas del grupo de reglas. Esta etiqueta no está asociada a ninguna regla. Este etiquetado se suma a las reglas y etiquetas de nivel medio y alto.

Se agregó una etiqueta de señal al grupo de reglas que indica la detección de una extensión del navegador que ayuda a la automatización. Esta etiqueta no es específica de una regla individual.

Se lanzó la versión estática 1.10 de este grupo de reglas.

Se actualizó una regla para mejorar la detección y reducir los falsos positivos.

Se lanzó la versión estática 1.9 de este grupo de reglas.

Se actualizaron una regla para mejorar la detección y reducir los falsos positivos.

Se lanzó la versión estática 2.1 de este grupo de reglas.

Se actualizó la regla de argumentos de consulta para mejorar la detección.

Se lanzó la versión estática 1.8 de este grupo de reglas.

Se actualizaron las reglas para mejorar la detección.

Implementación de excepción: publicada la versión estática 1.19 de este grupo de reglas. Se actualizó la versión predeterminada para usar la versión 1.19.

Se actualizó la regla ExploitablePaths_URIPATH para agregar la detección de las solicitudes que coincidan con la vulnerabilidad de escalamiento de privilegios CVE-2023-22515 de Atlassian Confluence. Esta vulnerabilidad afecta a algunas versiones de Atlassian Confluence. Para obtener más información, consulte NIST: National Vulnerability Database: CVE-2023-22515 Detail y Atlassian Support: FAQ for CVE-2023-22515.

Para obtener información sobre este tipo de implementación, consulte Implementaciones de excepciones para reglas AWS administradas.

Implementación de excepción: publicada la versión estática 1.18 de este grupo de reglas. Se trata de una implementación rápida de esta versión estática para adaptarla a la creación e implementación de la versión 1.19.

Se actualizaron la regla Host_localhost_HEADER y todas las reglas de deserialización de Log4J y Java para mejorar la detección.

Para obtener información sobre este tipo de implementación, consulte Implementaciones de excepciones para reglas AWS administradas.

Se agregaron reglas al grupo de reglas con la acción Count.

La regla de IP de reutilización de tokens detecta y cuenta el uso compartido de tokens entre direcciones IP.

Las reglas de actividad coordinada utilizan un análisis automatizado del tráfico del sitio web mediante machine learning (ML) para detectar la actividad relacionada con los bots. En la configuración del grupo de reglas, puede desactivar el uso de ML. Con esta versión, los clientes que actualmente utilizan el nivel de protección específicas optan por el uso del ML. Al excluirse, se deshabilitan las reglas de actividad coordinada.

Se agregó la regla CategoryAI al grupo de reglas.

Se lanzó la versión estática 1.7 de este grupo de reglas.

Se actualizaron las reglas SSRF de metadatos de EC2 y extensiones restringidas para mejorar la detección y reducir los falsos positivos.

Todas las reglas están en un nuevo grupo de reglas

Se lanzó la versión estática 2.2 de este grupo de reglas.

Se agregaron firmas para mejorar la detección.

Se lanzó la versión estática 1.6 de este grupo de reglas.

Se actualizaron el scripting entre sitios (XSS) y las reglas de extensiones restringidas para mejorar la detección y reducir los falsos positivos.

Se lanzó la versión estática 2.0 de este grupo de reglas.

Se agregaron firmas para mejorar la detección en todas las reglas.

Se reemplazó la regla PHPHighRiskMethodsVariables_QUERYARGUMENTS por PHPHighRiskMethodsVariables_QUERYSTRING, que inspecciona toda la cadena de consulta en lugar de solo los argumentos de la consulta.

Se agregó la regla PHPHighRiskMethodsVariables_HEADER para ampliar la cobertura e incluir todos los encabezados.

Se actualizaron las siguientes etiquetas para alinearlas con el etiquetado estándar AWS de las reglas administradas:

Se agregaron reglas de inspección de respuestas de inicio de sesión para su uso con CloudFront distribuciones protegidas de Amazon. Estas reglas pueden bloquear nuevos intentos de inicio de sesión desde direcciones IP y sesiones de clientes que recientemente hayan provocado demasiados intentos fallidos de inicio de sesión.

Se lanzó la versión estática 1.5 de este grupo de reglas.

Se actualizaron los filtros de scripting entre sitios (XSS) para mejorar la detección.

Se lanzó la versión estática 2.1 de este grupo de reglas.

Se eliminaron la regla LFI_COOKIE y su etiqueta awswaf:managed:aws:linux-os:LFI_Cookie, y se sustituyeron por la nueva regla LFI_HEADER y su etiqueta awswaf:managed:aws:linux-os:LFI_Header. Este cambio amplía la inspección a varios encabezados.

Se han agregado transformaciones de texto y firmas a todas las reglas para mejorar la detección.

Se lanzó la versión estática 1.4 de este grupo de reglas.

Se agregó una transformación de texto a NoUserAgent_HEADER para eliminar todos los bytes nulos. Se actualizaron los filtros de reglas scripting entre sitios (XSS) para mejorar la detección.

Se lanzó la versión estática 1.17 de este grupo de reglas.

Se actualizaron las reglas de deserialización de Java para agregar la detección de las solicitudes que coincidan con la CVE-2022 42889 de Apache, una vulnerabilidad de ejecución remota de código (RCE) presente en las versiones de Apache Commons Text anteriores a la 1.10.0. Para obtener más información, consulte NIST: National Vulnerability Database: CVE-2022-42889 Detail y CVE-2022-42889: Apache Commons Text prior to 1.10.0 allows RCE when applied to untrusted input due to insecure interpolation defaults.

Detección mejorada en Host_localhost_HEADER.

Se lanzó la versión estática 1.16 de este grupo de reglas.

Se eliminaron los falsos positivos AWS identificados en la versión 1.15.

grupo de reglas administradas para el sistema operativo POSIX

grupo de reglas administradas de la aplicación PHP

WordPress grupo de reglas gestionado por la aplicación

Se corrigieron los nombres de las etiquetas documentados.

Este cambio no altera la forma en que el grupo de reglas gestiona el tráfico web.

Se agregó una nueva regla con Count acciones para inspeccionar las direcciones IP que participan activamente en actividades DDo S, según la inteligencia de amenazas de Amazon.

Se lanzó la versión estática 1.15 de este grupo de reglas.

Se quitó Log4JRCE y se sustituyó por Log4JRCE_HEADER, Log4JRCE_QUERYSTRING, Log4JRCE_URI y Log4JRCE_BODY, para una monitorización y una gestión más precisas de los falsos positivos.

Se agregaron firmas para mejorar la detección y el bloqueo de PROPFIND_METHOD, y todas las reglas JavaDeserializationRCE* y Log4JRCE*.

Se han actualizado las etiquetas para corregir el uso de mayúsculas y minúsculas en Host_localhost_HEADER y en todas las reglas JavaDeserializationRCE*.

Se corrigió la descripción de JavaDeserializationRCE_HEADER.

Se agregó una regla para impedir el uso del grupo de reglas administradas de prevención de apropiación de cuentas para el tráfico web del grupo de usuarios de Amazon Cognito.

AWS ha programado la caducidad de las versiones Version_1.2 y Version_2.0 del grupo de reglas. Las versiones vencerán el 9 de septiembre de 2022. Para obtener más información sobre la caducidad de versiones, consulte Uso de grupos de reglas gestionados versionados en AWS WAF.

Se lanzó la versión 1.3 de este grupo de reglas. Esta versión actualiza las firmas de coincidencia en las reglas GenericLFI_URIPATH y GenericRFI_URIPATH para mejorar la detección.

Se agregó la regla CategoryEmailClient al grupo de reglas.

Se lanzó la versión 1.14 de este grupo de reglas. Las cuatro reglas JavaDeserializtionRCE pasan al modo Block.

Se lanzó la versión 1.13 de este grupo de reglas. Se actualizó la transformación del texto para las vulnerabilidades RCE de Spring Core y Cloud Function. Estas reglas están en modo de recuento para recopilar métricas y evaluar los patrones coincidentes. La etiqueta se puede usar para bloquear las solicitudes en una regla personalizada. Se implementará una versión posterior con estas reglas en modo de bloqueo.

Se lanzó la versión 1.12 de este grupo de reglas. Se agregaron firmas para las vulnerabilidades RCE de Spring Core y Cloud Function. Estas reglas están en modo de recuento para recopilar métricas y evaluar los patrones coincidentes. La etiqueta se puede usar para bloquear las solicitudes en una regla personalizada. Se implementará una versión posterior con estas reglas en modo de bloqueo.

Se eliminaron las reglas Log4JRCE_HEADER, Log4JRCE_QUERYSTRING, Log4JRCE_URI y Log4JRCE_BODY ,y se sustituyeron por la regla Log4JRCE.

Todas las reglas están en un nuevo grupo de reglas

Se lanzó la versión 1.9 de este grupo de reglas. Se ha eliminado la regla Log4JRCE y se ha sustituido por las reglas Log4JRCE_HEADER, Log4JRCE_QUERYSTRING, Log4JRCE_URI y Log4JRCE_BODY para aumentar la flexibilidad en el uso de esta funcionalidad. Se agregaron firmas para mejorar la detección y el bloqueo.

Se lanzó la versión 2.0 de este grupo de reglas. Para estas reglas, se ajustaron las firmas de detección para reducir los falsos positivos. Se reemplazó la transformación de texto de URL_DECODE por la transformación de texto doble de URL_DECODE_UNI. Se agregó la transformación de texto de HTML_ENTITY_DECODE.

Como parte del lanzamiento de la versión 2.0 de este grupo de reglas, se agregó la transformación de texto de URL_DECODE_UNI. Se ha eliminado la transformación de texto de URL_DECODE de RestrictedExtensions_URIPATH.

Se lanzó la versión 2.0 de este grupo de reglas. Se reemplazó la transformación de texto de URL_DECODE por la transformación de texto doble de URL_DECODE_UNI y se añadió la transformación de texto de COMPRESS_WHITE_SPACE.

Se agregaron más firmas de detección a SQLiExtendedPatterns_QUERYARGUMENTS.

Se agregó la inspección JSON a SQLi_BODY.

Se agregó la regla SQLiExtendedPatterns_BODY.

Se ha eliminado la regla SQLi_URIPATH.

Se lanzó la versión 1.8 de la regla Log4JRCE para mejorar la inspección de los encabezados y los criterios de coincidencia.

Se lanzó la versión 1.4 de la regla Log4JRCE para mejorar los criterios de coincidencia y la inspección de encabezados adicionales. Se lanzó la versión 1.5 para mejorar los criterios de coincidencia.

Se agregó la versión 1.2 de la regla Log4JRCE en respuesta al problema de seguridad recientemente revelado en Log4j. Para obtener información, consulte CVE-2021-44228. Esta regla inspecciona las rutas de URI comunes, las cadenas de consulta, los primeros 8 KB del cuerpo de la solicitud y los encabezados comunes. La regla usa transformaciones de texto dobles de URL_DECODE_UNI. Se lanzó la versión 1.3 de la regla Log4JRCE para mejorar los criterios de coincidencia y la inspección de encabezados adicionales.

Se ha eliminado la regla BadAuthToken_COOKIE_AUTHORIZATION.

AWSManagedReconnaissanceList

WindowsShellCommands

PowerShellCommands

Se agregaron tres nuevas reglas para los WindowsShell comandos:WindowsShellCommands_COOKIE, yWindowsShellCommands_QUERYARGUMENTS. WindowsShellCommands_BODY

Se agregó una nueva PowerShell regla:PowerShellCommands_COOKIE.

Reestructuró la denominación de las reglas PowerShellComands eliminando las cadenas _Set1 y _Set2.

Se agregaron firmas de detección más completas a PowerShellRules.

Se agregó la transformación de texto de URL_DECODE_UNI a todas las reglas del sistema operativo Windows.

LFI_URIPATH

LFI_QUERYSTRING

LFI_BODY

LFI_COOKIE

Se reemplazó la transformación de texto doble de URL_DECODE por URL_DECODE_UNI doble.

Se agregó NORMALIZE_PATH_WIN como segunda transformación de texto.

Se reemplazó la regla LFI_BODY por la regla LFI_COOKIE.

Se agregaron firmas de detección más completas para todas las reglas de LFI.

SizeRestrictions_BODY

EC2MetaDataSSRF_BODY

EC2MetaDataSSRF_COOKIE

EC2MetaDataSSRF_URIPATH

EC2MetaDataSSRF_QUERYARGUMENTS

GenericLFI_QUERYARGUMENTS

GenericLFI_URIPATH

RestrictedExtensions_URIPATH

RestrictedExtensions_QUERYARGUMENTS

GenericRFI_QUERYARGUMENTS

GenericRFI_BODY

GenericRFI_URIPATH

Todas las reglas

AWSManagedIPReputationList_xxxx

AnonymousIPList

HostingProviderList

GenericRFI_QUERYARGUMENTS

RestrictedExtensions_URIPATH

AdminProtection_URIPATH

ExploitablePaths_URIPATH

LFI_QUERYARGUMENTS

PHPHighRiskMethodsVariables_QUERYARGUMENTS

PHPHighRiskMethodsVariables_BODY

UNIXShellCommandsVariables_QUERYARGUMENTS

UNIXShellCommandsVariables_BODY

GenericLFI_QUERYARGUMENTS

GenericLFI_URIPATH

GenericLFI_BODY

LFI_URIPATH

LFI_QUERYARGUMENTS

LFI_BODY

WordPressExploitableCommands_QUERYSTRING

SizeRestrictions_QUERYSTRING

SizeRestrictions_Cookie_HEADER

SizeRestrictions_BODY

SizeRestrictions_URIPATH

SQLi_URIPATH

SQLi_BODY

SQLi_QUERYARGUMENTS

SQLi_COOKIE

CrossSiteScripting_URIPATH

CrossSiteScripting_BODY

CrossSiteScripting_QUERYARGUMENTS

CrossSiteScripting_COOKIE