Araştırmacılar, Web Kaynaklarını ve Sitelerini Engelleyebilecek CDN’leri Etkileyen Yeni Bir Önbellek Zehirlenmesi Saldırısı Tespit Ediyor

TP; DR: Geçen yılın sonlarında, Almanya’daki araştırmacılar, içerik dağıtım ağlarında (CDN’ler) Önbellek Zehirli Hizmet Reddi Saldırısı (CPDoS) olarak bilinen bir güvenlik açığı keşfetti. 15 web önbellekleme çözümünün kapsamlı bir çalışmasında, araştırmacılar bu saldırıların etkisini analiz etti ve uygun önlemleri sağladı. Dijital güvenlik alanında hiçbir dinlenme olmadığından, akademisyenler giderek karmaşıklaştıkça bu güvenlik açıklarını azaltmak için çözümler üzerinde çalışmaya devam etmeyi planlıyorlar..


Bu günlerde, yenilik dahil olmak üzere neredeyse her şeyin karanlık bir tarafı var gibi görünüyor. Siber suçlular sonsuza dek kurbanlarını hedeflemek için yaratıcı yeni yollar arayışındadır ve bugünün tehdit manzarasını özellikle tehditkar hale getirmektedir..

Siber Güvenlik Girişimleri’nin 2016 raporuna göre, siber suç dünyaya 2021 yılına kadar yılda 6 trilyon dolardan fazla mal olacak. Bu, tüm yasadışı uyuşturucuların küresel ticaretinden daha karlı..

Bu salgınla mücadele etmek için, araştırmacılar suçlular zarar verme şansına sahip olmadan önce güvenlik açıklarını keşfetmeye ve bunları risk altındaki işletmelere açıklamaya çalışıyor. Böyle bir örnek, kötü niyetli aktörlerin web kaynaklarına ve sitelerine erişimi engellemek için kullanabileceği yeni keşfedilen bir teknik olan Önbellek Zehirli Hizmet Reddi Saldırısıdır (CPDoS)..

Alman araştırmacılar Hoai Viet Nguyen, Luigi Lo Iacono ve Hannes Federrath tarafından keşfedilen ve 22 Ekim 2019’da tanıtılan CPDoS, içerik dağıtım ağları (CDN’ler) aracılığıyla dağıtılıyor veya proxy önbelleklerine yerleştiriliyor.

Araştırmacı Hoai Viet Nguyen ("Viet") ve CPDoS logosu

Araştırmacı Hoai Viet Nguyen (“Viet”) bize CDN’leri etkileyen CPDoS güvenlik açığına bir bakış attı.

“Önbellek sistemi tarafından algılanmayan kaynak sunucuda bir hataya neden olarak, önbellek sunucu tarafından oluşturulan hata sayfası ile zehirlenir ve amaçlanan yerine bu işe yaramaz içeriği sunmak için kullanılır, kurban hizmetini kullanılamaz hale getirir.” araştırmacılar araştırma makalelerinde “Önbelleğiniz Düştü: Önbellekte Zehirli Hizmet Reddi Saldırısı” açıkladı.

CPDoS özellikle tehlikelidir, çünkü saldırı CDN önbelleğini zehirler ve hata sayfalarını dünyanın dört bir yanındaki önbellek sunucularına dağıtır – bu da büyük ölçekli kesintilere neden olabilir.

“Önbellekleme karmaşık bir mekanizmadır,” dedi Hoai Viet Nguyen (“Viet”). “Birçok CDN sağlayıcısı tarafından iyi anlaşılmadı – önemli bir bilgi eksikliği var. CPDoS ve önbellekle ilgili diğer saldırıları azaltmak için önbelleğe alınan bir web sitesini üretime sokmadan önce çok fazla test yapmalısınız. ”

Araştırmacılar, bu saldırıların etkisini iyice analiz ettiler ve tanıtım raporları aracılığıyla uygun önlemler aldılar. Ancak nihayetinde dijital güvenlik alanında herhangi bir dinlenme yok ve akademisyenler geliştikçe organizasyonları bu güvenlik açıklarından korumak için çözümler üzerinde çalışmaya devam etmeyi planlıyorlar..

Önbellek Zehirli Hizmet Reddi’ni Keşfetme

Viet, araştırma ekibinin CPDoS’u kazara tökezlediğini söyledi. “Zaten önbellekleme ve CDN’lerde çok fazla araştırma yapıyorduk ve bir gün, Amazon CloudFront CDN’in belgelerine baktığımda, uygunsuz hata kodunu 400 Kötü İstek’i varsayılan olarak önbelleğe aldıklarını ve çok büyük bir başlığa sahip olduklarını buldum boyut sınırı. ”

Bazı deneylerden sonra ekip, hatalı biçimlendirilmiş bir başlık içeren bir HTTP isteği göndererek bir hata sayfasını tetikleyebileceklerini keşfetti. Hata sayfası önbellek sunucusu tarafından saklandıktan sonra, coğrafi olarak dağıtılmış bir ağda birden çok kenar düğümüne yayılabilir ve bu da geniş ölçekli bir hizmet reddine yol açabilir.

CloudFront’u tehdit hakkında uyarmanın yanı sıra, araştırmacılar Akamai, CDN77, Fastly, Cloudflare ve Varnish’in CDN’lerinin de savunmasız olduğunu fark ettiler.

CPDoS saldırısında, kötü niyetli bir oyuncu proxy önbelleklerinde barındırılan veya CDN’ler aracılığıyla dağıtılan tüm web kaynaklarını engelleyebilir.

Toplamda üç CPDoS saldırısı varyasyonu vardır: HTTP Üstbilgisi Büyük Boy (HHO), HTTP Meta Karakteri (HMC) ve HTTP Yöntemini Geçersiz Kılma (HMO).

HHO CPDoS saldırısı, web sunucuları ve ara sistemler için temel bilgileri içeren HTTP istek üstbilgileri için boyut sınırlarındaki değişikliklerden yararlanır. Bu senaryoda, siber suçlu, kaynak sunucudan daha büyük bir kafa boyutu sınırı kabul eden bir önbellek kullanan bir web uygulamasına saldırabilir. Sunucu isteği engelleyerek bir hata sayfasının önbellek tarafından saklanmasına ve daha sonra tüm istekler üzerinden yayılmasına neden olur.

HMC CPDoS saldırısı, büyük boyutlu bir başlık göndermek yerine, bir hata sayfasını tetiklemek için / n, / r veya / a gibi zararlı bir meta karakter kullanarak bir istek üstbilgisine sahip bir önbelleği atlar. CPDoS’un son varyasyonu olan HMO saldırısı, ara sistemlerin belirli HTTP yöntemlerini engellediği senaryolarda çalışır.

15 Web Önbellekleme Çözümünün Kapsamlı Bir Çalışması

“Önbelleğiniz Düştü: Önbellek Zehirli Hizmet Reddi Saldırısı” nda Viet ve araştırmacıları, Şubat 2019’daki deneylerinin sonuçlarını 15 web önbellek sistemi üzerinde detaylandırıyor: Apache HTTP Sunucusu, Apache Trafik Sunucusu, Nginx, Squid, Vernik , Akamai, Azure, CDN77, CDNsun, Cloudflare, Amazon CloudFront, Hızlıca, G-Core Labs, KeyCDN ve StackPath.

Sonuç olarak, araştırmacılar, farklı web önbellek sistemleri ve HTTP uygulamalarının (ASP.NET, IIS, Tomcat ve Amazon S3 gibi diğerleri) çeşitli CDN’lerde güvenlik açıklarına yol açtığını buldular. CloudFront, farklı platformlardaki HHO, HMC ve HMO güvenlik açıklarından en fazla etkilenenlerdi.

Viet, bu güvenlik açıkları konusunda bilgilendirildiğinden, etkilenen şirketlerin CPDoS saldırılarını azaltmak için önlemler aldığını ve sorunların çoğunluğunun ele alındığını söyledi (ancak bazı kuruluşların diğerlerinden daha hızlı hareket etmesine rağmen).

Kötü niyetli amaçlar için kullanıldığında CPDoS saldırılarının sahip olabileceği etki göz önüne alındığında, bu güven vericidir..

Viet, “CPDoS, devlet web siteleri ve çevrimiçi bankacılık gibi kritik görevli siteleri engellemek, yıkıcı uyarı bilgilerini devre dışı bırakmak veya yazılım ve cihazlardaki güvenlik açıklarının giderilmesini önlemek için önbelleklerle dağıtılan yamaları ve ürün yazılımı güncellemelerini engellemek için kullanılabilir” dedi. “Kötü niyetli bir oyuncunun bir web sitesini sabote etmek için yapabileceği birçok şey var.”

Saldırıları Azaltmak İçin Seçenekleri Aktif Olarak Araştırma

Neyse ki, araştırmacılar içerik sağlayıcıların kullanıcıları CPDoS saldırılarına karşı korumak için alabilecekleri bazı önlemler belirlediler. Saldırıdan kaçınmanın ilk adımı, hata sayfalarını HTTP standartlarına göre önbelleğe almaktır.

Viet, “Çok sayıda CPDoS saldırısı ve diğer önbellek tabanlı saldırılar, CDN’lerin ve önbellek sağlayıcılarının politikaları ve özellikleri karşılamaması sorunundan kaynaklanıyor” dedi..

Örneğin, web önbelleğe alma standartları, içerik sağlayıcıların yalnızca aşağıdaki hata kodlarını önbelleğe alabileceğini belirler: 404 Bulunamadı, 405 Yönteme İzin Verilmedi, 410 Gitti ve 501 Uygulanmadı. Çoğu durumda, araştırmacıların deneylerindeki güvenlik açıklarına 400 Hatalı İstek gibi varsayılan hata kodları neden olmuştur.

Sağlayıcılar ayrıca hata sayfalarını önbelleğe almayı engelleyebilir veya web uygulaması güvenlik duvarlarını önbellek önünde dağıtabilir.

İleride, Viet, araştırma ekibinin tehditler daha karmaşık hale geldikçe CPDoS saldırılarını azaltmak için ek yaklaşımlar üzerinde çalışacağını söyledi. Her zaman gelişiyorlar: Örneğin, Mart 2019’da Nathan Davison, CORs başlıklarını kullanarak yeni bir varyasyon tespit etti ve Şubat 2020’de CloudFoundry GoRouter’ı etkileyen yeni bir varyant tanıttı.

“Araştırma raporumuzda bu saldırıların nasıl azaltılacağı konusunda zaten çeşitli çözümler önerdik, ancak gelecekte saldırıların daha karmaşık hale geleceği için daha fazla çözüm sunmamız gerekecek” dedi..

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Adblock
    detector