Hamburg ve Köln Üniversitelerinden araştırmacılar
içerik dağıtım ağlarına ve proxy'lerin önbelleğe alınmasına yönelik yeni bir saldırı tekniği - (Önbellek Zehirli Hizmet Reddi). Saldırı, önbellek zehirlenmesi yoluyla bir sayfaya erişimin reddedilmesine olanak tanır.
Sorun, CDN'lerin yalnızca başarıyla tamamlanan istekleri değil, aynı zamanda http sunucusunun hata döndürdüğü durumları da önbelleğe alması nedeniyledir. Kural olarak, isteklerin oluşturulmasında sorunlar varsa, sunucu bir 400 (Kötü İstek) hatası verir; bunun tek istisnası, çok büyük başlıklar için 404 (Bulunamadı) hatası veren IIS'dir. Standart yalnızca 404 (Bulunamadı), 405 (Yönteme İzin Verilmiyor), 410 (Gitti) ve 501 (Uygulanmadı) kodlu hataların önbelleğe alınmasına izin verir, ancak bazı CDN'ler ayrıca 400 (Kötü İstek) kodlu yanıtları da önbelleğe alır. gönderilen istek üzerine.
Saldırganlar, belirli bir şekilde biçimlendirilmiş HTTP başlıklarına sahip bir istek göndererek orijinal kaynağın “400 Hatalı İstek” hatası döndürmesine neden olabilir. Bu başlıklar CDN tarafından dikkate alınmaz, dolayısıyla sayfaya erişilememesiyle ilgili bilgiler önbelleğe alınır ve zaman aşımı süresi dolmadan diğer tüm geçerli kullanıcı istekleri, orijinal site içeriği sunsa bile hatayla sonuçlanabilir. herhangi bir sorun olmadan.
HTTP sunucusunu hata döndürmeye zorlamak için üç saldırı seçeneği önerilmiştir:
- HMO (HTTP Yöntemini Geçersiz Kılma) - bir saldırgan, bazı sunucular tarafından desteklenen "X-HTTP-Method-Override", "X-HTTP-Method" veya "X-Method-Override" başlıkları aracılığıyla orijinal istek yöntemini geçersiz kılabilir, ancak CDN'de dikkate alınmaz. Örneğin, orijinal “GET” yöntemini, sunucuda yasak olan “DELETE” yöntemiyle veya statik için geçerli olmayan “POST” yöntemiyle değiştirebilirsiniz;
- HHO (HTTP Üstbilgisi Büyük Boyutu) - saldırgan, kaynak sunucunun sınırını aşacak ancak CDN kısıtlamalarına girmeyecek şekilde başlık boyutunu seçebilir. Örneğin, Apache httpd başlık boyutunu 8 KB ile sınırlar ve Amazon Cloudfront CDN, 20 KB'a kadar başlıklara izin verir;
- HMC (HTTP Meta Karakteri) - bir saldırgan, isteğe kaynak sunucuda geçersiz sayılan ancak CDN'de dikkate alınmayan özel karakterler (\n, \r, \a) ekleyebilir.
Saldırıya en açık olanı Amazon Web Services (AWS) tarafından kullanılan CloudFront CDN oldu. Amazon artık hataları önbelleğe almayı devre dışı bırakarak sorunu çözdü, ancak araştırmacıların koruma eklemesi üç aydan fazla sürdü. Sorun ayrıca Cloudflare, Varnish, Akamai, CDN77 ve
Hızlı, ancak bunlar üzerinden yapılan saldırı IIS, ASP.NET kullanan hedef sunucularla sınırlıdır. и . ABD Savunma Bakanlığı alan adlarının %11'inin, HTTP Arşivi veritabanındaki URL'lerin %16'sının ve Alexa tarafından sıralanan en iyi 30 web sitesinin yaklaşık %500'unun potansiyel olarak saldırıya maruz kalabileceği belirtildi.
Site tarafındaki bir saldırıyı engellemek için geçici bir çözüm olarak, yanıtın önbelleğe alınmasını yasaklayan "Cache-Control: no-store" başlığını kullanabilirsiniz. Bazı CDN'lerde, ör.
CloudFront ve Akamai'de, profil ayarları düzeyinde hataları önbelleğe almayı devre dışı bırakabilirsiniz. Koruma için web uygulaması güvenlik duvarlarını da (WAF, Web Uygulaması Güvenlik Duvarı) kullanabilirsiniz, ancak bunların CDN tarafında önbelleğe alma ana bilgisayarlarının önünde uygulanması gerekir.
Kaynak: opennet.ru