I ricercatori di l'Università di Amburgo è Cologne
una nova tecnica di attaccu nantu à e rete di distribuzione di cuntenutu è caching proxies - (Cache-Poisoned Denial-of-Service). L'attaccu permette l'accessu à una pagina per esse denegatu per via di avvelenamentu di cache.
U prublema hè duvuta à u fattu chì i CDN cache micca solu e dumande cumpletu cù successu, ma ancu situazioni quandu u servitore http torna un errore. In regula, s'ellu ci sò prublemi cù a furmazione di richieste, u servitore emette un errore 400 (Bad Request); l'unica eccezzioni hè IIS, chì emette un errore 404 (Not Found) per intestazioni troppu grande. U standard permette solu l'errore cù i codici 404 (micca trovu), 405 (metudu micca permessu), 410 (andatu) è 501 (micca implementatu) per esse in cache, ma certi CDN cachenu ancu e risposte cù u codice 400 (rimanda cattiva), chì dipende. nantu à a dumanda mandata.
L'attaccanti ponu causà a risorsa originale per rinvià un errore "400 Bad Request" mandendu una dumanda cù intestazioni HTTP formate in un certu modu. Queste intestazioni ùn sò micca cunsiderate da u CDN, cusì l'infurmazioni nantu à l'incapacità di accede à a pagina seranu in cache, è tutte l'altri richieste di l'utilizatori validi prima di u tempu di scadenza pò esse risultatu in un errore, malgradu u fattu chì u situ originale serve u cuntenutu. senza prublemi.
Trè opzioni di attaccu sò state pruposte per furzà u servitore HTTP per rinvià un errore:
- HMO (HTTP Method Override) - un attaccu pò annullà u metudu di dumanda originale attraversu l'intestazione "X-HTTP-Method-Override", "X-HTTP-Method" o "X-Method-Override", supportatu da alcuni servitori, ma micca cunsideratu in u CDN. Per esempiu, pudete cambià u metudu uriginale "GET" à u metudu "DELETE", chì hè pruibitu in u servitore, o u metudu "POST", chì ùn hè micca applicabile per statics;
- HHO (HTTP Header Oversize) - un attaccu pò selezziunà a dimensione di l'intestazione in modu chì supera u limitu di u servitore fonte, ma ùn entra micca in e restrizioni CDN. Per esempiu, Apache httpd limita a dimensione di l'intestazione à 8 KB, è Amazon Cloudfront CDN permette intestazioni finu à 20 KB;
- HMC (HTTP Meta Character) - un attaccu pò inserisce caratteri spiciali in a dumanda (\n, \r, \a), chì sò cunsiderati invalidi nantu à u servitore fonte, ma sò ignorati in u CDN.
U più suscettibile à l'attaccu era u CloudFront CDN utilizatu da Amazon Web Services (AWS). Amazon hà avà risoltu u prublema disattivendu a cache d'errore, ma hà pigliatu i circadori più di trè mesi per aghjunghje a prutezzione. U prublema hà ancu affettatu Cloudflare, Varnish, Akamai, CDN77 è
Rapidamente, ma l'attaccu per elli hè limitatu à i servitori di destinazione chì utilizanu IIS, ASP.NET, и . , chì 11% di i domini di u Dipartimentu di a Difesa di i Stati Uniti, 16% di l'URL da a basa di dati HTTP Archive è circa 30% di i 500 siti web classificati da Alexa puderia esse sughjetti à l'attaccu.
Cum'è una soluzione per bluccà un attaccu à u latu di u situ, pudete aduprà l'intestazione "Cache-Control: no-store", chì pruibisce a caching di risposta. In certi CDN, p.e.
CloudFront è Akamai, pudete disattivà a cache d'errore à u livellu di i paràmetri di u prufilu. Per a prutezzione, pudete ancu aduprà firewalls di l'applicazioni web (WAF, Web Application Firewall), ma devenu esse implementati in u latu CDN davanti à l'ospiti caching.
Source: opennet.ru