Forskare identifierar en ny cacheförgiftningsattack som påverkar CDN: er som kan blockera webbresurser och webbplatser

TL; DR: I slutet av förra året upptäckte forskare i Tyskland en sårbarhet i innehållsleveransnätverk (CDN: er) som kallas Cache-Poisoned Denial-of-Service Attack (CPDoS). I en omfattande studie av 15 webbcachelösningar analyserade forskarna effekterna av dessa attacker och gav lämpliga motåtgärder. Eftersom det inte finns någon vila i det digitala säkerhetsutrymmet, planerar akademikerna att fortsätta arbeta med lösningar för att mildra sådana sårbarheter när de växer allt mer komplex.


Idag verkar det som om det finns en mörk sida på nästan allt – inklusive innovation. Cyberbrottslingar är alltid på jakt efter kreativa nya sätt att rikta in sig på sina offer, vilket gör dagens hotlandskap särskilt hotfullt.

Enligt en rapport från 2016 från Cybersecurity Ventures kommer cyberbrott att kosta världen mer än 6 biljoner dollar årligen år 2021. Det är mer lönsamt än den globala handeln med alla olagliga droger tillsammans.

För att bekämpa denna epidemi söker forskare att upptäcka sårbarheter – och avslöja dem till riskfyllda företag – innan brottslingar har chansen att orsaka skada. Ett sådant exempel är Cache-Poisoned Denial-of-Service Attack (CPDoS), en nyupptäckt teknik som skadliga aktörer kan använda för att blockera åtkomst till webbresurser och webbplatser.

Upptäckt av tyska forskare Hoai Viet Nguyen, Luigi Lo Iacono och Hannes Federrath och introducerades 22 oktober 2019, CPDoS distribueras via innehållsleveransnätverk (CDN) eller inrymts i proxy-cacheminne.

Forskaren Hoai Viet Nguyen ("Viet") och CPDoS-logotyp

Forskaren Hoai Viet Nguyen (“Viet”) gav oss en inblick på CPDoS-sårbarheten som påverkar CDN: er.

“Genom att provocera ett fel på originalservern som inte upptäcks av det mellanliggande cachningssystemet förgiftas cachen med den servergenererade felsidan och instrumenteras för att tjäna detta värdelösa innehåll istället för det avsedda, vilket gör offretjänsten inte tillgänglig,” forskarna förklarade i sitt forskningsdokument, “Din cache har fallit: cache-förgiftad avslag på tjänstemän.”

CPDoS är särskilt farligt eftersom attacken förgiftar CDN-cachen och distribuerar felsidor till kantcacher-servrar runt om i världen – vilket kan orsaka störningar i stor skala.

“Caching är en komplex mekanism,” berättade Hoai Viet Nguyen (“Viet”). “Det är inte väl förstått av många CDN-leverantörer – det finns en betydande brist på kunskap. Du bör göra en hel del tester innan du sätter in en webbplats med cache i produktion för att mildra CPDoS och andra cache-relaterade attacker. ”

Forskarna har noggrant analyserat effekterna av dessa attacker och tillhandahållit lämpliga motåtgärder via sin vitbok. I slutändan finns det ingen vila i det digitala säkerhetsutrymmet, och akademikerna planerar att fortsätta arbeta med lösningar för att skydda organisationer från dessa sårbarheter när de utvecklas.

Upptäck den cache-förgiftade avslag på tjänsten

Viet berättade för oss att hans forskarteam snubblat över CPDoS av misstag. ”Vi gjorde redan en hel del forskning inom cache och CDN, och en dag, när jag tittade på dokumentationen på Amazon CloudFront CDN, såg jag att de cachade den olämpliga felkoden 400 Bad Request som standard och hade en mycket stor rubrik storleksgräns. ”

Efter några experiment upptäckte teamet att de kunde utlösa en felsida genom att skicka en HTTP-begäran som innehåller en felaktig rubrik. Efter att felsidan lagras av cachingservern kan den spridas till flera kantnoder i ett geografiskt spridd nätverk, vilket leder till ett omfattande avslag på tjänst.

Förutom att varna CloudFront om hotet gjorde forskarna också Akamai, CDN77, Fastly, Cloudflare och Varnish medvetna om att deras CDN också var sårbara.

I en CPDoS-attack kan en skadlig aktör blockera alla webbresurser som finns i proxy-cacheminnet eller distribueras via CDN: er.

Totalt finns tre varianter av CPDoS-attacker: HTTP Header Oversize (HHO), HTTP Meta Character (HMC) och HTTP Method Override (HMO).

HHO CPDoS-attacken utnyttjar variationen i storleksgränser för HTTP-förfrågningsrubriker, som innehåller viktig information för webbservrar och mellanliggande system. I det här scenariot kan en cyberkriminell attackera en webbapplikation som använder en cache som accepterar en större huvudstorleksgräns än originalservern. Servern blockerar begäran, vilket gör att en felsida lagras av cachen och sprids via alla förfrågningar därefter.

I stället för att skicka ett stort huvud, går HMC CPDoS-attacken förbi en cache med en begäranhuvud med ett skadligt metatecken – som / n, / r eller / a – för att utlösa en felsida. Den sista variationen av CPDoS, HMO-attacken, fungerar i scenarier där mellanliggande system blockerar specifika HTTP-metoder.

En omfattande studie av 15 webbcachelösningar

I “Your Cache Has Fallen: Cache-Poisoned-Denial-of-Service Attack”, beskriver Viet och hans forskare forskarna resultaten från sina experiment i februari 2019 på 15 cachesystem för webb: Apache HTTP-server, Apache Traffic Server, Nginx, Squid, Varnish , Akamai, Azure, CDN77, CDNsun, Cloudflare, Amazon CloudFront, Fastly, G-Core Labs, KeyCDN och StackPath.

I slutändan fann forskarna att olika par av webbcache-system och HTTP-implementationer (som ASP.NET, IIS, Tomcat och Amazon S3, bland andra) ledde till sårbarheter i olika CDN: er. CloudFront var den överlägset mest drabbade, med HHO, HMC och HMO sårbarheter på olika plattformar.

Sedan Viet meddelades om dessa sårbarheter sa Viet att de drabbade företagen har vidtagit åtgärder för att mildra CPDoS-attacker, och majoriteten av problemen har åtgärdats (även om vissa organisationer var snabbare att agera än andra).

Detta är lugnande, med tanke på effekterna CPDoS-attacker kan ha när de används för skadliga ändamål.

“CPDoS kan användas för att blockera uppdragskritiska webbplatser, till exempel statliga webbplatser och onlinebankering, inaktivera katastrofisk varningsinformation eller blockera korrigeringar och uppdateringar av firmware som distribueras via cachar för att förhindra att sårbarheter i programvara och enheter fixas,” sade Viet. “Det är många saker som en skadlig skådespelare kan göra för att sabotera en webbplats.”

Aktivt undersöka alternativ för att mildra attacker

Lyckligtvis har forskarna identifierat ett antal åtgärder som innehållsleverantörer kan vidta för att skydda användare från CPDoS-attacker. Det första steget i att undvika en attack är att cache-fel-sidor i enlighet med HTTP-standarder.

“Många CPDoS-attacker och andra cache-baserade attacker är resultatet av problemet att CDN: er och cachingleverantörer inte respekterar policyer och specifikationer,” sade Viet.

Exempelvis dikterar webbcachelagringsstandarder att innehållsleverantörer bara kan cache följande felkoder: 404 Not Found, 405 Method Not Tillåtet, 410 Gone och 501 Not Implemented. I många fall orsakades sårbarheter i forskarnas experiment av standardfelkoder som 400 Bad Request.

Leverantörer kan också utesluta felsidor från cachning eller distribuera webbapplikationsbrandväggar framför cachen.

Viet sade att forskarteamet kommer att arbeta med ytterligare strategier för att mildra CPDoS-attacker när hot blir mer sofistikerade. De utvecklas alltid: Till exempel, i mars 2019, upptäckte Nathan Davison en ny variant med hjälp av CORs-rubriker, och i februari 2020 introducerade han en annan ny variant som påverkar CloudFoundry GoRouter.

“Vi har redan föreslagit flera lösningar för hur man kan mildra dessa attacker i vårt forskningsdokument, men i framtiden kommer vi att behöva tillhandahålla många fler lösningar eftersom attackerna kommer att bli mer komplicerade att ta på,” sade han.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Adblock
    detector