Los investigadores identifican un nuevo ataque de envenenamiento de caché que afecta a las CDN que podrían bloquear recursos y sitios web

TL; DR: A fines del año pasado, investigadores en Alemania descubrieron una vulnerabilidad en las redes de entrega de contenido (CDN) conocida como el Ataque de denegación de servicio envenenado por caché (CPDoS). En un extenso estudio de 15 soluciones de almacenamiento en caché web, los investigadores analizaron el impacto de estos ataques y proporcionaron contramedidas apropiadas. Dado que no hay descanso en el espacio de seguridad digital, los académicos planean continuar trabajando en soluciones para mitigar tales vulnerabilidades a medida que se vuelven cada vez más complejas.


En estos días, parece que hay un lado oscuro en casi todo, incluida la innovación. Los ciberdelincuentes están siempre buscando nuevas formas creativas para atacar a sus víctimas, lo que hace que el panorama de amenazas de hoy sea particularmente amenazante.

Según un informe de 2016 de Cybersecurity Ventures, el cibercrimen le costará al mundo más de $ 6 billones anuales para 2021. Eso es más rentable que el comercio global de todas las drogas ilegales combinadas.

Para combatir esta epidemia, los investigadores buscan descubrir vulnerabilidades, y revelarlas a las empresas en riesgo, antes de que los delincuentes tengan la posibilidad de causar daño. Un ejemplo de ello es el ataque de denegación de servicio envenenado por caché (CPDoS), una técnica recién descubierta que los actores maliciosos podrían usar para bloquear el acceso a los recursos y sitios web..

Descubierto por los investigadores alemanes Hoai Viet Nguyen, Luigi Lo Iacono y Hannes Federrath, y presentado el 22 de octubre de 2019, CPDoS se distribuye a través de redes de entrega de contenido (CDN) o se almacena en cachés proxy.

Investigador Hoai Viet Nguyen ("Viet") y logotipo de CPDoS

El investigador Hoai Viet Nguyen (“Viet”) nos dio una mirada interna a la vulnerabilidad de CPDoS que afecta a las CDN.

“Al provocar un error en el servidor de origen que no es detectado por el sistema de almacenamiento en caché intermedio, el caché se envenena con la página de error generada por el servidor y se instrumenta para que sirva este contenido inútil en lugar del previsto, lo que hace que el servicio de la víctima no esté disponible”. Los investigadores explicaron en su trabajo de investigación: “Su caché ha caído: ataque de denegación de servicio envenenado por caché”.

CPDoS es particularmente peligroso porque el ataque envenena el caché CDN, distribuyendo páginas de error a los servidores de caché periféricos en todo el mundo, lo que puede causar interrupciones a gran escala..

“El almacenamiento en caché es un mecanismo complejo”, nos dijo Hoai Viet Nguyen (“Viet”). “Muchos proveedores de CDN no lo entienden bien; existe una falta significativa de conocimiento. Debería hacer muchas pruebas antes de poner en producción un sitio web con almacenamiento en caché para mitigar CPDoS y otros ataques relacionados con la memoria caché ”.

Los investigadores analizaron a fondo el impacto de estos ataques y proporcionaron contramedidas apropiadas a través de su documento técnico. Sin embargo, en última instancia, no hay descanso en el espacio de seguridad digital, y los académicos planean continuar trabajando en soluciones para proteger a las organizaciones de estas vulnerabilidades a medida que evolucionan..

Descubriendo la denegación de servicio envenenada en caché

Viet nos dijo que su equipo de investigación se topó con CPDoS por accidente. “Ya estábamos investigando mucho sobre el almacenamiento en caché y las CDN, y un día, cuando miré la documentación de la CDN de Amazon CloudFront, descubrí que almacenaban en caché el código de error inapropiado 400 Bad Request de forma predeterminada y tenía un encabezado muy grande límite de tamaño “.

Después de algunos experimentos, el equipo descubrió que podían activar una página de error enviando una solicitud HTTP que contenía un encabezado con formato incorrecto. Una vez que el servidor de almacenamiento en caché almacena la página de error, puede extenderse a múltiples nodos periféricos en una red geográficamente dispersa, lo que lleva a una denegación de servicio a gran escala.

Además de advertir a CloudFront sobre la amenaza, los investigadores también informaron a Akamai, CDN77, Fastly, Cloudflare y Varnish de que sus CDN también eran vulnerables..

En un ataque CPDoS, un actor malicioso puede bloquear cualquier recurso web alojado en cachés proxy o distribuido a través de CDN.

En total, existen tres variaciones de ataques CPDoS: HTTP Header Oversize (HHO), HTTP Meta Character (HMC) y HTTP Method Override (HMO).

El ataque HHO CPDoS explota la variación en los límites de tamaño para los encabezados de solicitud HTTP, que contienen información esencial para servidores web y sistemas intermedios. En este escenario, un ciberdelincuente puede atacar una aplicación web que utiliza un caché que acepta un límite de tamaño de cabecera mayor que el servidor de origen. El servidor bloqueará la solicitud, haciendo que la caché almacene una página de error y se extienda a través de todas las solicitudes posteriores..

En lugar de enviar un encabezado de gran tamaño, el ataque HMC CPDoS omite un caché con un encabezado de solicitud que utiliza un meta carácter nocivo, como / n, / r o / a, para activar una página de error. La variación final de CPDoS, el ataque HMO, funciona en escenarios donde los sistemas intermedios bloquean métodos HTTP específicos.

Un extenso estudio de 15 soluciones de almacenamiento en caché web

En “Su caché ha caído: ataque de denegación de servicio envenenado por caché”, Viet y sus colegas investigadores detallan los resultados de sus experimentos de febrero de 2019 en 15 sistemas de almacenamiento en caché web: servidor HTTP Apache, servidor de tráfico Apache, Nginx, calamar, barniz , Akamai, Azure, CDN77, CDNsun, Cloudflare, Amazon CloudFront, Fastly, G-Core Labs, KeyCDN y StackPath.

Finalmente, los investigadores descubrieron que diferentes pares de sistemas de almacenamiento en caché web e implementaciones HTTP (como ASP.NET, IIS, Tomcat y Amazon S3, entre otros) generaban vulnerabilidades en varios CDN. CloudFront fue, con mucho, el más afectado, con vulnerabilidades HHO, HMC y HMO en diferentes plataformas.

Desde que se les notificó estas vulnerabilidades, Viet dijo que las compañías afectadas han tomado medidas para mitigar los ataques de CPDoS y que la mayoría de los problemas han sido abordados (aunque algunas organizaciones actuaron más rápido que otras).

Esto es tranquilizador, considerando el impacto que los ataques de CPDoS podrían tener cuando se usan con fines maliciosos.

“CPDoS se puede usar para bloquear sitios de misión crítica, como sitios web gubernamentales y banca en línea, deshabilitar información de advertencia catastrófica o bloquear parches y actualizaciones de firmware distribuidos a través de cachés para evitar que se reparen vulnerabilidades en software y dispositivos”, dijo Viet. “Hay muchas cosas que un actor malicioso podría hacer para sabotear un sitio web”.

Investigando activamente opciones para mitigar ataques

Afortunadamente, los investigadores han identificado una serie de medidas que los proveedores de contenido pueden tomar para proteger a los usuarios de los ataques de CPDoS. El primer paso para evitar un ataque es almacenar en caché las páginas de error de acuerdo con los estándares HTTP.

“Muchos ataques de CPDoS y otros ataques basados ​​en caché resultan del problema de que los CDN y los proveedores de almacenamiento en caché no cumplen con las políticas y especificaciones”, dijo Viet.

Por ejemplo, los estándares de almacenamiento en caché web dictan que los proveedores de contenido solo pueden almacenar en caché los siguientes códigos de error: 404 no encontrado, método 405 no permitido, 410 desaparecido y 501 no implementado. En muchos casos, las vulnerabilidades en los experimentos de los investigadores fueron causadas por códigos de error predeterminados como 400 Bad Request.

Los proveedores también pueden excluir las páginas de error del almacenamiento en caché o implementar firewalls de aplicaciones web frente a la caché.

En el futuro, Viet dijo que el equipo de investigación trabajará en enfoques adicionales para mitigar los ataques de CPDoS a medida que las amenazas se vuelvan más sofisticadas. Siempre están evolucionando: por ejemplo, en marzo de 2019, Nathan Davison detectó una nueva variación con los encabezados de COR, y en febrero de 2020, introdujo otra nueva variante que afecta al CloudFoundry GoRouter.

“Ya hemos sugerido varias soluciones sobre cómo mitigar estos ataques en nuestro trabajo de investigación, pero en el futuro, tendremos que proporcionar muchas más soluciones ya que los ataques serán más complicados de enfrentar”, dijo..

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Adblock
    detector