Istraživači identificiraju novi napad napadaja iz predmemorije koji utječe na CDN-ove koji mogu blokirati web resurse i web lokacije

TL; DR: Krajem prošle godine, istraživači u Njemačkoj otkrili su ranjivost u mrežama za isporuku sadržaja (CDNs) poznatim pod nazivom Napadaj oduzetog cache-om (CPDoS). U opsežnoj studiji 15 rješenja za predmemoriranje web stranica, istraživači su analizirali utjecaj tih napada i dali odgovarajuće mjere suzbijanja. Budući da u digitalnom sigurnosnom prostoru nema odmora, akademici planiraju nastaviti raditi na rješenjima za ublažavanje takvih ranjivosti jer postaju sve složeniji.


Ovih dana izgleda da postoji mračna strana gotovo svega – uključujući inovacije. Cyber-kriminalci zauvijek tragaju za kreativnim novim načinima ciljanja svojih žrtava, a današnji krajolik prijetnji posebno prijeteći.

Prema izvješću tvrtke Cybersecurity Ventures za 2016. godinu, cyber-kriminal će do 2021. godine koštati svijet više od 6 bilijuna dolara godišnje. To je isplativije od globalne trgovine svim ilegalnim drogama u kombinaciji.

Da bi se borili protiv ove epidemije, istraživači žele otkriti ranjivosti – i otkriti ih tvrtkama u riziku – prije nego što kriminalci imaju priliku nanijeti štetu. Jedan od takvih primjera je napad s odustankom od usluge (CPDoS) otrovan predmemorijom, novootkrivena tehnika koja bi zlonamjerni akteri mogli upotrijebiti za blokiranje pristupa web resursima i web stranicama.

Otkrili su je njemački istraživači Hoai Viet Nguyen, Luigi Lo Iacono i Hannes Federrath, a predstavljeni 22. listopada 2019. CPDoS se distribuira putem mreža za dostavu sadržaja (CDNs) ili je smješten na proxy cacheu.

Istraživač Hoai Viet Nguyen ("Viet") i logotip CPDoS

Istraživač Hoai Viet Nguyen (“Viet”) dao nam je iznutra pregled ranjivosti CPDoS-a koja utječe na CDN-ove.

“Izazivajući pogrešku na izvornom poslužitelju koji ne prepoznaje intermedijski sustav predmemoriranja, predmemorija se otruje stranicom generiranom na stranici pogreške i instrumentira za posluživanje ovog beskorisnog sadržaja umjesto namijenjenog, čineći žrtvu uslugom nedostupnom.” istraživači su u svom istraživačkom radu objasnili: “Vaš predmemorija se srušila: Napasti napadom otrovan napadom.”

CPDoS je posebno opasan jer napad otrova CDN predmemoriju, distribuirajući stranice pogrešaka na rubnim predmemorijskim poslužiteljima širom svijeta – potencijalno uzrokujući velike poremećaje.

“Poučavanje je složen mehanizam”, rekao nam je Hoai Viet Nguyen (“Viet”). “Mnogi provajderi CDN-a to ne razumiju dobro – značajno nedostaje znanje. Da biste ublažili CPDoS i druge napade povezane s predmemorijom, trebali biste napraviti puno testiranja prije nego što postavite web mjesto s predmemoriranjem. “

Istraživači su temeljito analizirali utjecaj tih napada i pružili odgovarajuće mjere suprostavljanja putem svoje bijele knjige. Naposljetku, u digitalnom sigurnosnom prostoru nema odmora i akademici planiraju nastaviti raditi na rješenjima za zaštitu organizacija od tih ranjivosti kako se razvijaju..

Otkrivanje uskraćivanja usluge koja je otrovana cacheom

Viet nam je rekao da je njegov istraživački tim naletio na CPDoS slučajno. “Već smo radili puno istraživanja u predmemoriranju i CDN-ovima, a jednog dana, kada sam pogledao dokumentaciju Amazon CloudFront CDN-a, ustanovio sam da su prema zadanom predmemorirali neprimjereni kod pogreške 400 Bad Request i imao je vrlo veliko zaglavlje ograničenje veličine. “

Nakon nekih eksperimenata, tim je otkrio da mogu pokrenuti stranicu s pogreškama slanjem HTTP zahtjeva koji sadrži pogrešno oblikovano zaglavlje. Nakon što poslužitelj za predmemoriranje pohrani stranicu s pogreškama, ona se može proširiti na više rubnih čvorova u geografski raspršenoj mreži, što dovodi do opsežnog odbijanja usluge.

Osim što su CloudFront upozorili na prijetnju, istraživači su također postavili Akamai, CDN77, Fastly, Cloudflare i Varnish da su njihovi CDN-i također ranjivi.

U napadu CPDoS, zlobni akter može blokirati bilo koji web resurs koji se nalazi u predmemoriji proxyja ili distribuiran putem CDN-ova.

Sve u svemu postoje tri varijacije CPDoS napada: HTTP oververize (HHO), meta karakter HTTP (HMC) i prebacivanje HTTP metoda (HMO).

HHO CPDoS napad koristi varijacije u veličini ograničenja za HTTP zaglavlja zahtjeva, koji sadrže bitne podatke za web poslužitelje i intermedijarne sustave. U ovom scenariju, cyber-kriminalac može napasti web aplikaciju koja koristi predmemoriju koja prihvaća veće ograničenje veličine glave od matičnog poslužitelja. Poslužitelj će blokirati zahtjev, što uzrokuje spremanje stranice pogreške u predmemoriju i širenje putem svih zahtjeva nakon toga.

Umjesto da pošalje zaglavlje velikoga formata, HMC CPDoS napad zaobilazi predmemoriju sa zaglavljem zahtjeva koristeći štetni meta znak – poput / n, / r ili / a – da pokrene stranicu pogreške. Konačna varijacija CPDoS-a, HMO napada, djeluje u scenarijima gdje srednji sustavi blokiraju određene HTTP metode.

Opsežna studija 15 rješenja za predmemoriranje web stranica

U „Vaš predmemorija je pala: napadom uskraćivanja kapiranja otkazanoj uslugom“ Viet i njegovi kolege istraživači detaljno prikazuju rezultate svojih eksperimenata u veljači 2019. na 15 sustava za predmemoriranje: Apache HTTP Server, Apache Traffic Server, Nginx, Squid, Varnish , Akamai, Azure, CDN77, CDNsun, Cloudflare, Amazon CloudFront, brzo, G-Core Labs, KeyCDN i StackPath.

Konačno, istraživači su otkrili da različiti parovi sustava web cachinga i HTTP implementacija (poput ASP.NET, IIS, Tomcat i Amazon S3, između ostalog) dovode do ranjivosti u različitim CDN-ovima. CloudFront je bio pod najvećim utjecajem na ranjivosti HHO, HMC i HMO na različitim platformama.

Otkako je obaviješten o tim ranjivostima, Viet je rekao da su pogođene kompanije poduzele mjere za ublažavanje napada CPDoS-a te je riješena većina problema (iako su neke organizacije djelovale brže od drugih).

Ovo je uvjerljivo s obzirom na utjecaj koji CPDoS napadi mogu imati u zlonamjerne svrhe.

“CPDoS se može koristiti za blokiranje kritičnih mjesta, kao što su vladine web stranice i internetsko bankarstvo, onemogućavanje katastrofalnih informacija upozorenja ili blokiranje zakrpa i ažuriranja firmvera distribuiranih putem predmemorije kako bi se spriječilo ispravljanje ranjivosti u softveru i uređajima”, rekao je Viet. “Postoji puno stvari koje bi zlobni glumac mogao učiniti da sabotira web stranicu.”

Aktivno istraživanje opcija za ublažavanje napada

Srećom, istraživači su identificirali niz mjera koje davatelji sadržaja mogu poduzeti kako bi zaštitili korisnike od CPDoS napada. Prvi korak u izbjegavanju napada jest predmemoriranje stranica s pogreškama u skladu s HTTP standardima.

“Mnogo CPDoS napada i drugih napada temeljenih na predmemoriji rezultat su problema da CDN-ovi i davatelji keširanja ne poštuju politike i specifikacije”, rekao je Viet.

Na primjer, standardi internetskog predmemoriranja nalažu da davatelji sadržaja mogu predmemorirati samo sljedeće kodove pogreške: 404 nije pronađeno, 405 metoda nije dopuštena, 410 nestalo i 501 nije primijenjena. U mnogim su slučajevima ranjivosti u eksperimentima istraživača uzrokovane zadanim kodovima pogrešaka, kao što je 400 loših zahtjeva.

Pružatelji usluga mogu također isključiti stranice pogrešaka iz predmemoriranja ili rasporediti vatrozidove web aplikacija ispred predmemorije.

Krećući se naprijed, Viet je rekao da će istraživački tim raditi na dodatnim pristupima ublažavanju napada CPDoS-a jer prijetnje postaju sofisticiranije. Oni se uvijek razvijaju: Na primjer, u ožujku 2019., Nathan Davison otkrio je novu varijaciju pomoću zaglavlja COR-a, a u veljači 2020. uveo je još jednu novu varijantu koja utječe na CloudFoundry GoRouter.

“Već smo predložili nekoliko rješenja kako ublažiti te napade u svom istraživačkom radu, ali u budućnosti ćemo morati pružiti još mnogo rješenja jer će se napadi složenije preuzeti”, rekao je.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me