Riċerkaturi mill-Universitajiet ta’ Hamburg u Cologne
teknika ġdida ta' attakk fuq netwerks ta' kunsinna ta' kontenut u caching proxies - (Ċaħda ta' Servizz Avvelenat bil-Cache). L-attakk jippermetti li l-aċċess għal paġna jiġi miċħud permezz ta 'avvelenament tal-cache.
Il-problema hija dovuta għall-fatt li CDNs cache mhux biss temmew b'suċċess talbiet, iżda wkoll sitwazzjonijiet meta s-server http jirritorna żball. Bħala regola, jekk ikun hemm problemi biex jiġu ffurmati talbiet, is-server joħroġ żball 400 (Talba Ħażina); l-unika eċċezzjoni hija IIS, li joħroġ żball 404 (Mhux misjub) għal headers kbar wisq. L-istandard jippermetti biss li l-iżbalji bil-kodiċi 404 (Mhux Jinstab), 405 (Metodu Mhux Permess), 410 (Għaddew) u 501 (Mhux Implimentati) jiġu cached, iżda xi CDNs jaħtfu wkoll risponsi fil-cache bil-kodiċi 400 (Talba Ħażina), li jiddependi fuq it-talba mibgħuta.
L-attakkanti jistgħu jikkawżaw li r-riżors oriġinali jirritorna żball "400 Bad Request" billi jibgħat talba b'headers HTTP ifformattjati b'ċertu mod. Dawn l-intestaturi ma jiġux ikkunsidrati mis-CDN, għalhekk l-informazzjoni dwar l-inabbiltà li wieħed jaċċessa l-paġna se tiġi miżmumin fil-cache, u t-talbiet l-oħra kollha validi tal-utent qabel ma jiskadi l-timeout jistgħu jirriżultaw fi żball, minkejja l-fatt li s-sit oriġinali jservi l-kontenut. mingħajr problemi.
Ġew proposti tliet għażliet ta' attakk biex iġġiegħel lis-server HTTP jirritorna żball:
- HMO (HTTP Method Override) - attakkant jista' jegħleb il-metodu ta' talba oriġinali permezz tal-headers "X-HTTP-Method-Override", "X-HTTP-Method" jew "X-Method-Override", appoġġjati minn xi servers, iżda mhux ikkunsidrat fis-CDN. Pereżempju, tista 'tibdel il-metodu "GET" oriġinali għall-metodu "ĦASSAR", li huwa pprojbit fuq is-server, jew il-metodu "POST", li mhuwiex applikabbli għall-istatika;
- HHO (HTTP Header Oversize) - attakkant jista 'jagħżel id-daqs tal-header sabiex jaqbeż il-limitu tas-server tas-sors, iżda ma jaqax fir-restrizzjonijiet tas-CDN. Pereżempju, Apache httpd jillimita d-daqs tal-header għal 8 KB, u Amazon Cloudfront CDN jippermetti headers sa 20 KB;
- HMC (HTTP Meta Character) - attakkant jista' jdaħħal karattri speċjali fit-talba (\n, \r, \a), li huma kkunsidrati invalidi fuq is-server tas-sors, iżda huma injorati fis-CDN.
L-aktar suxxettibbli għall-attakk kien is-CDN CloudFront użat minn Amazon Web Services (AWS). Amazon issa rranġat il-problema billi ddiżattiva l-caching tal-iżbalji, iżda r-riċerkaturi ħadu aktar minn tliet xhur biex iżidu l-protezzjoni. Il-kwistjoni affettwat ukoll Cloudflare, Varnish, Akamai, CDN77 u
Malajr, iżda l-attakk permezz tagħhom huwa limitat għal servers fil-mira li jużaw IIS, ASP.NET, и . , li 11% tad-dominji tad-Dipartiment tad-Difiża tal-Istati Uniti, 16% tal-URLs mid-database tal-Arkivju HTTP u madwar 30% tal-aqwa 500 websajt ikklassifikati minn Alexa jistgħu potenzjalment ikunu suġġetti għal attakk.
Bħala soluzzjoni biex timblokka attakk fuq in-naħa tas-sit, tista 'tuża l-header "Cache-Control: no-store", li tipprojbixxi l-caching tar-rispons. F'xi CDNs, eż.
CloudFront u Akamai, tista' tiddiżattiva l-caching tal-iżbalji fil-livell tas-settings tal-profil. Għall-protezzjoni, tista 'wkoll tuża firewalls tal-applikazzjoni tal-web (WAF, Web Application Firewall), iżda għandhom jiġu implimentati fuq in-naħa tas-CDN quddiem il-caching hosts.
Sors: opennet.ru