Pesquisadores identificam um novo ataque de envenenamento por cache que afeta CDNs que podem bloquear sites e recursos da Web

TL; DR: No final do ano passado, pesquisadores na Alemanha descobriram uma vulnerabilidade nas redes de entrega de conteúdo (CDNs), conhecida como ataque de negação de serviço envenenado por cache (CPDoS). Em um extenso estudo de 15 soluções de cache na web, os pesquisadores analisaram o impacto desses ataques e forneceram medidas adequadas. Como não há descanso no espaço de segurança digital, os acadêmicos planejam continuar trabalhando em soluções para mitigar essas vulnerabilidades à medida que elas se tornam cada vez mais complexas.


Hoje em dia, parece que há um lado sombrio em quase tudo – incluindo inovação. Os cibercriminosos estão sempre em busca de novas maneiras criativas de atingir suas vítimas, tornando o cenário de ameaças de hoje particularmente ameaçador.

De acordo com um relatório de 2016 da Cybersecurity Ventures, o cibercrime custará ao mundo mais de US $ 6 trilhões anualmente até 2021. Isso é mais lucrativo do que o comércio global de todas as drogas ilegais combinadas.

Para combater essa epidemia, os pesquisadores procuram descobrir vulnerabilidades – e divulgá-las para empresas em risco – antes que os criminosos tenham a chance de causar danos. Um exemplo é o ataque de negação de serviço envenenado por cache (CPDoS), uma técnica recém-descoberta que agentes mal-intencionados podem usar para bloquear o acesso a recursos e sites da Web.

Descoberto pelos pesquisadores alemães Hoai Viet Nguyen, Luigi Lo Iacono e Hannes Federrath, e apresentado em 22 de outubro de 2019, o CPDoS é distribuído através de redes de entrega de conteúdo (CDNs) ou alojado em caches de proxy.

Pesquisador Hoai Viet Nguyen ("Viet") e logo do CPDoS

O pesquisador Hoai Viet Nguyen (“Viet”) nos deu uma visão geral da vulnerabilidade do CPDoS que afeta as CDNs.

“Ao provocar um erro no servidor de origem que não é detectado pelo sistema de armazenamento em cache intermediário, o cache é envenenado com a página de erro gerada pelo servidor e instrumentado para exibir esse conteúdo inútil em vez do pretendido, tornando o serviço da vítima indisponível” os pesquisadores explicaram em seu trabalho de pesquisa: “Seu cache caiu: ataque de negação de serviço envenenado por cache”.

O CPDoS é particularmente perigoso porque o ataque envenena o cache da CDN, distribuindo páginas de erro para os servidores de cache de borda em todo o mundo – potencialmente causando interrupções em grande escala.

“O armazenamento em cache é um mecanismo complexo”, Hoai Viet Nguyen (“Viet”) nos disse. “Não é bem compreendido por muitos provedores de CDN – há uma falta significativa de conhecimento. Você deve fazer muitos testes antes de colocar um site com cache em produção para mitigar o CPDoS e outros ataques relacionados ao cache. ”

Os pesquisadores analisaram minuciosamente o impacto desses ataques e forneceram contramedidas apropriadas através de seu white paper. Por fim, no entanto, não há descanso no espaço de segurança digital, e os acadêmicos planejam continuar trabalhando em soluções para proteger as organizações dessas vulnerabilidades à medida que elas evoluem.

Descobrindo a negação de serviço envenenada por cache

Viet nos disse que sua equipe de pesquisa encontrou o CPDoS por acidente. “Já estávamos fazendo muita pesquisa em cache e CDNs e, um dia, quando examinei a documentação do Amazon CloudFront CDN, descobri que eles armazenavam em cache o código de erro inadequado 400 Bad Request por padrão e tinham um cabeçalho muito grande. limite de tamanho “.

Após algumas experiências, a equipe descobriu que era possível acionar uma página de erro enviando uma solicitação HTTP contendo um cabeçalho malformado. Depois que a página de erro é armazenada pelo servidor de armazenamento em cache, ela pode se espalhar para vários nós de borda em uma rede geograficamente dispersa, levando a uma negação de serviço em larga escala.

Além de alertar o CloudFront sobre a ameaça, os pesquisadores também informaram a Akamai, CDN77, Fastly, Cloudflare e Varnish que seus CDNs também estavam vulneráveis..

Em um ataque de CPDoS, um agente mal-intencionado pode bloquear qualquer recurso da Web hospedado em caches de proxy ou distribuído por CDNs.

No total, existem três variações de ataques de CPDoS: HHO (oversize de cabeçalho HTTP), Meta Character (HMC) e substituição de método HTTP (HMO).

O ataque HHO CPDoS explora a variação nos limites de tamanho dos cabeçalhos de solicitação HTTP, que contêm informações essenciais para servidores da web e sistemas intermediários. Nesse cenário, um cibercriminoso pode atacar um aplicativo Web que usa um cache que aceita um limite de tamanho de cabeça maior que o servidor de origem. O servidor bloqueará a solicitação, fazendo com que uma página de erro seja armazenada pelo cache e espalhada por todas as solicitações posteriores..

Em vez de enviar um cabeçalho de grandes dimensões, o ataque do HMC CPDoS ignora um cache com um cabeçalho de solicitação usando um meta caractere prejudicial – como / n, / r ou / a – para acionar uma página de erro. A variação final do CPDoS, o ataque HMO, funciona em cenários em que sistemas intermediários bloqueiam métodos HTTP específicos.

Um estudo extenso de 15 soluções de cache da Web

Em “Seu cache caiu: ataque de negação de serviço envenenado por cache”, Viet e seus colegas pesquisadores detalham os resultados de suas experiências de fevereiro de 2019 em 15 sistemas de cache da web: Apache HTTP Server, Apache Traffic Server, Nginx, Squid, Varnish , Akamai, Azure, CDN77, CDNsun, Cloudflare, Amazon CloudFront, Rapidamente, G-Core Labs, KeyCDN e StackPath.

Por fim, os pesquisadores descobriram que diferentes pares de sistemas de cache da Web e implementações HTTP (como ASP.NET, IIS, Tomcat e Amazon S3, entre outros) levaram a vulnerabilidades em várias CDNs. O CloudFront foi de longe o mais afetado, com vulnerabilidades HHO, HMC e HMO em diferentes plataformas.

Desde que foram notificadas sobre essas vulnerabilidades, Viet disse que as empresas afetadas adotaram medidas para mitigar ataques de CPDoS, e a maioria dos problemas foi resolvida (embora algumas organizações tenham agido mais rapidamente do que outras).

Isso é tranquilizador, considerando o impacto que os ataques de CPDoS podem ter quando usados ​​para fins maliciosos.

“O CPDoS pode ser usado para bloquear sites de missão crítica, como sites do governo e bancos on-line, desativar informações de aviso catastróficas ou bloquear patches e atualizações de firmware distribuídos por caches para impedir a correção de vulnerabilidades em software e dispositivos”, disse Viet. “Há muitas coisas que um ator malicioso pode fazer para sabotar um site”.

Pesquisando ativamente opções para mitigar ataques

Felizmente, os pesquisadores identificaram uma série de medidas que os provedores de conteúdo podem adotar para proteger os usuários contra ataques de CPDoS. A primeira etapa para evitar um ataque é armazenar em cache as páginas de erro de acordo com os padrões HTTP.

“Muitos ataques de CPDoS e outros ataques baseados em cache resultam do problema de que as CDNs e os provedores de cache não respeitam políticas e especificações”, disse Viet..

Por exemplo, os padrões de cache da web determinam que os provedores de conteúdo podem armazenar em cache apenas os seguintes códigos de erro: 404 não encontrado, método 405 não permitido, 410 desaparecido e 501 não implementado. Em muitos casos, as vulnerabilidades nas experiências dos pesquisadores foram causadas por códigos de erro padrão, como 400 Solicitação incorreta.

Os provedores também podem excluir páginas de erro do armazenamento em cache ou implantar firewalls de aplicativos da Web na frente do cache.

No futuro, Viet disse que a equipe de pesquisa trabalhará em abordagens adicionais para mitigar ataques de CPDoS à medida que as ameaças se tornarem mais sofisticadas. Eles estão sempre evoluindo: por exemplo, em março de 2019, Nathan Davison detectou uma nova variação usando cabeçalhos CORs e, em fevereiro de 2020, ele introduziu outra nova variante que afeta o CloudFoundry GoRouter.

“Já sugerimos várias soluções para atenuar esses ataques em nosso trabalho de pesquisa, mas, no futuro, precisaremos fornecer muito mais soluções, pois os ataques se tornarão mais complicados”, afirmou..

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Adblock
    detector