Дослідники виявляють нову атаку отруєння кеша, що впливає на CDN, які можуть блокувати веб-ресурси та сайти

TL; ДОКТОР: Наприкінці минулого року дослідники в Німеччині виявили вразливість у мережах доставки вмісту (CDN), відомих як атака, отруєна кешем, відмова від використання (CPDoS). У широкому дослідженні 15 рішень веб-кешування дослідники проаналізували вплив цих атак та запропонували відповідні контрзаходи. Оскільки в просторі цифрової безпеки немає спокою, науковці планують продовжувати працювати над рішеннями для зменшення таких вразливих місць, коли вони стають все складнішими..


У наші дні, здається, існує майже будь-яка темна сторона майже усього, включаючи інновації. Кіберзлочинці назавжди шукають нові креативні способи спрямування своїх жертв, завдяки чому сьогоднішній пейзаж загрози є особливо загрозливим.

Згідно з доповіддю про кібербезпеку Ventures за 2016 рік, кіберзлочинність обійдеться світові до 6 трлн доларів щорічно до 2021 року. Це вигідніше, ніж глобальна торгівля усіма незаконними наркотиками разом.

Для боротьби з цією епідемією дослідники прагнуть виявити вразливості – і розкрити їх підприємствам ризику – перш ніж злочинці зможуть заподіяти шкоду. Одним із таких прикладів є атака відхиленого кешем відмови від обслуговування (CPDoS) – нещодавно виявлена ​​техніка, яку злісні учасники могли використовувати для блокування доступу до веб-ресурсів та сайтів.

Виявлені німецькими дослідниками Хоаєм В’єт Нгуєном, Луїджі Ло Яконо та Ханнесом Федерратом, і введені 22 жовтня 2019 року, CPDoS поширюється через мережі доставки вмісту (CDN) або розміщується на проксі-кешах.

Дослідник Hoai Viet Nguyen ("Viet") та логотип CPDoS

Дослідник Хоаї В’єт Нгуен (“В’єт”) ознайомив нас із уявленням про вразливість CPDoS, що впливає на CDN.

“Провокуючи помилку на початковому сервері, яка не виявлена ​​проміжною системою кешування, кеш отруєний створеною сервером сторінкою помилок і інструментом для обслуговування цього марного вмісту замість призначеного, що робить службу жертви недоступною”, Дослідники пояснили у своєму дослідницькому документі: “Ваш кеш впав: атака, отруєна кешем, відмова від служби”.

CPDoS особливо небезпечний тим, що атака отруює кеш-пам’ять CDN, поширюючи сторінки помилок на сервери крайових кешів по всьому світу – потенційно спричиняючи масштабні збої.

“Кешування – це складний механізм”, – сказав нам Хоай В’єт Нгуен (“В’єт”). “Багато постачальників CDN це не дуже добре зрозуміло – значного бракує знань. Ви повинні зробити багато тестувань, перш ніж вводити веб-сайт із кешуванням у виробництво, щоб пом’якшити CPDoS та інші атаки, пов’язані з кешем ».

Дослідники ретельно проаналізували вплив цих атак та запропонували відповідні контрзаходи за допомогою своєї білої книги. Зрештою, в просторі цифрової безпеки немає спокою, і науковці планують продовжувати працювати над рішеннями для захисту організацій від цих вразливих місць, коли вони розвиваються..

Виявлення відмови в сервісі, отруєному кешем

В’єт сказав нам, що його дослідницька група випадково натрапила на CPDoS. “Ми вже проводили багато досліджень кешування та CDN, і одного разу, коли я переглянув документацію Amazon CloudFront CDN, я виявив, що вони кешували невідповідний код помилки 400 Bad Request за замовчуванням і мав дуже великий заголовок обмеження розміру. “

Після деяких експериментів команда виявила, що вони можуть запустити сторінку помилок, надіславши HTTP-запит, що містить неправильно сформований заголовок. Після того, як сторінка помилок зберігається на сервері кешування, її можна поширити на кілька крайових вузлів у географічно розсіяній мережі, що призведе до широкомасштабного відмови в обслуговуванні.

Окрім попередження CloudFront про загрозу, дослідники також повідомили Akamai, CDN77, Fastly, Cloudflare та Varnish, що їх CDN також були вразливими.

Під час нападу CPDoS шкідливий актор може заблокувати будь-який веб-ресурс, розміщений у кеш-проксі або розповсюджений через CDN.

Всього існує три варіанти атак CPDoS: надмірний розмір заголовка HTTP (HHO), метасимвол HTTP (HMC) та переоцінка методу HTTP (HMO).

HHO CPDoS атака використовує зміни розмірів для заголовків запитів HTTP, які містять важливу інформацію для веб-серверів та проміжних систем. У цьому випадку кіберзлочинця може атакувати веб-додаток, який використовує кеш, який приймає більшу обмеження розміру голови, ніж сервер початківців. Сервер блокує запит, спричиняючи збереження сторінки помилки в кеші, і розповсюджується після цього на всі запити.

Замість того, щоб надсилати негативний заголовок, атака HMC CPDoS обходить кеш із заголовком запиту, використовуючи шкідливий метасимвол – наприклад / n, / r або / a – для запуску сторінки помилок. Остаточна варіація CPDoS, атака HMO, працює в сценаріях, коли проміжні системи блокують конкретні методи HTTP.

Широке вивчення 15 рішень веб-кешування

У “Ваш кеш впав: атака відхиленого кешем відмови від обслуговування” В’єт та його колеги-дослідники детально описують результати своїх експериментів у лютому 2019 року на 15 системах кешування веб-сторінок: Apache HTTP Server, Apache Traffic Server, Nginx, Squid, Varnish , Akamai, Azure, CDN77, CDNsun, Cloudflare, Amazon CloudFront, швидко, лабораторії G-Core, KeyCDN та StackPath.

Зрештою, дослідники виявили, що різні пари систем кешування веб-сторінок та реалізація HTTP (таких як ASP.NET, IIS, Tomcat та Amazon S3, серед інших) призвели до вразливості різних CDN. Напевно, найбільше постраждав CloudFront, уразливості HHO, HMC та HMO на різних платформах.

Повідомляючи про ці вразливості, В’єт сказав, що постраждалі компанії вжили заходів для пом’якшення атак CPDoS, і більшість проблем були вирішені (хоча деякі організації діяли швидше, ніж інші).

Це заспокоює, враховуючи вплив CPDoS-атак, які можуть матись при зловмисних цілях.

“CPDoS можна використовувати для блокування критично важливих місій, таких як урядові веб-сайти та Інтернет-банкінг, відключення катастрофічної інформації попередження або блокування патчів та оновлень мікропрограмного забезпечення, поширюваних через кеші, щоб запобігти виправленню вразливості програмного забезпечення та пристроїв”, – сказав В’єт. “Існує багато речей, які злісний актор міг би зробити, щоб саботажувати веб-сайт”.

Активно досліджуйте варіанти для пом’якшення нападів

На щастя, дослідники визначили ряд заходів, які постачальники вмісту можуть вжити для захисту користувачів від атак CPDoS. Перший крок уникнення атаки – це кешування сторінок помилок відповідно до стандартів HTTP.

“Багато атак CPDoS та інших атак, заснованих на кеш-пам’яті, є наслідком того, що CDN і провайдери кешування не виконують політики та технічні характеристики”, – сказав В’єт.

Наприклад, стандарти кешування веб-сайтів диктують, що постачальники вмісту можуть кешувати лише такі коди помилок: 404 Не знайдено, 405 Метод не дозволено, 410 Покінчено та 501 Не реалізовано. У багатьох випадках вразливості в експериментах дослідників були викликані кодами помилок за замовчуванням, такими як 400 Bad Request.

Постачальники також можуть виключати сторінки помилок із кешування або розгортати брандмауери веб-додатків перед кешем.

Просуваючись вперед, В’єт сказав, що дослідницька група буде працювати над додатковими підходами до пом’якшення атак CPDoS, оскільки загрози стають все більш досконалими. Вони постійно розвиваються: Наприклад, у березні 2019 року Натан Девісон виявив нову варіацію за допомогою заголовків CORs, а в лютому 2020 року він ввів ще один новий варіант, що впливає на CloudFoundry GoRouter.

“Ми вже запропонували кілька рішень щодо пом’якшення цих атак у нашому дослідницькому документі, але в майбутньому нам потрібно буде запропонувати ще багато рішень, оскільки напади стануть складнішими для прийняття”, – сказав він..

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Adblock
    detector