מתקפת CPDoS שהופכת דפים המוגשים דרך CDN ללא נגישים

חוקרים מאוניברסיטאות המבורג וקלן
מפותח טכניקת התקפה חדשה על רשתות אספקת תוכן ופרוקסי מטמון - CPDoS (מניעת שירות מורעלת במטמון). המתקפה מאפשרת למנוע גישה לדף באמצעות הרעלת מטמון.

הבעיה נובעת מהעובדה ש-CDN מאחסן לא רק בקשות שהושלמו בהצלחה, אלא גם ממצבים שבהם שרת ה-http מחזיר שגיאה. ככלל, אם יש בעיות ביצירת בקשות, השרת מנפיק שגיאת 400 (בקשה גרועה); היוצא מן הכלל היחיד הוא IIS, שמנפיק שגיאת 404 (לא נמצא) עבור כותרות גדולות מדי. התקן מאפשר לשמור רק שגיאות עם קודים 404 (לא נמצא), 405 (שיטה לא מותרת), 410 (נעלמה) ו-501 (לא מיושם), אבל חלק מה-CDN גם מאחסנים תגובות עם קוד 400 (בקשה גרועה), שתלוי על הבקשה שנשלחה.

תוקפים יכולים לגרום למשאב המקורי להחזיר שגיאת "400 Bad Request" על ידי שליחת בקשה עם כותרות HTTP מעוצבות בצורה מסוימת. כותרות אלו אינן נלקחות בחשבון על ידי ה-CDN, כך שמידע על חוסר היכולת לגשת לדף יישמר במטמון, וכל שאר בקשות המשתמש התקפות לפני פקיעת הזמן הקצוב עלולות לגרום לשגיאה, למרות העובדה שהאתר המקורי משרת את התוכן בלי שום בעיות.

שלוש אפשרויות תקיפה הוצעו כדי לאלץ את שרת ה-HTTP להחזיר שגיאה:

• HMO (HTTP Method Override) - תוקף יכול לעקוף את שיטת הבקשה המקורית באמצעות הכותרות "X-HTTP-Method-Override", "X-HTTP-Method" או "X-Method-Override", הנתמכות על ידי שרתים מסוימים, אך לא נלקח בחשבון ב-CDN. לדוגמה, אתה יכול לשנות את שיטת "GET" המקורית לשיטת "DELETE", האסורה בשרת, או את שיטת "POST", שאינה ישימה עבור סטטיקה;
  

• HHO (HTTP Header Oversize) - תוקף יכול לבחור את גודל הכותרת כך שהוא יחרוג מהמגבלה של שרת המקור, אך לא ייכנס למגבלות ה-CDN. לדוגמה, Apache httpd מגביל את גודל הכותרת ל-8 KB, ואמזון Cloudfront CDN מאפשר כותרות של עד 20 KB;
  

• HMC (HTTP Meta Character) - תוקף יכול להכניס לבקשה תווים מיוחדים (\n, \r, \a), הנחשבים לא חוקיים בשרת המקור, אך מתעלמים מהם ב-CDN.
  

הרגיש ביותר להתקפה היה ה-CloudFront CDN המשמש את שירותי האינטרנט של אמזון (AWS). אמזון תיקנה כעת את הבעיה על ידי השבתת שמירה במטמון של שגיאות, אך לקח לחוקרים יותר משלושה חודשים להוסיף הגנה. הבעיה השפיעה גם על Cloudflare, Varnish, Akamai, CDN77 ו
מהר, אבל ההתקפה דרכם מוגבלת לשרתי יעד המשתמשים ב- IIS, ASP.NET, בקבוק и שחק 1. זה מצוין, ש-11% מהדומיינים של משרד ההגנה האמריקאי, 16% מכתובות האתרים ממסד הנתונים של HTTP Archive וכ-30% מ-500 האתרים הגדולים ביותר המדורגים על ידי אלקסה עלולים להיות נתונים להתקפה.

כדרך לעקיפת הבעיה לחסימת התקפה בצד האתר, אתה יכול להשתמש בכותרת "Cache-Control: no-store", האוסרת על שמירת תגובות במטמון. בחלק מה-CDNs, למשל.
CloudFront ו-Akamai, אתה יכול לבטל את אחסון השגיאות במטמון ברמת הגדרות הפרופיל. להגנה, אתה יכול גם להשתמש בחומת אש של יישומי אינטרנט (WAF, Web Application Firewall), אך יש ליישם אותם בצד ה-CDN מול המארחים המאוחסנים במטמון.

מקור: OpenNet.ru