Twee wetenschappers van de Technische Universiteit van Keulen (TH Koln) hebben verstrekt, heeft deze week een nieuw type van web aanval gif content delivery networks (Cdn ‘s) in de cache en vervolgens serveren fout pagina’ s in plaats van legitieme websites.
De nieuwe aanval heeft de naam gekregen van CPDoS (Cache-Vergiftigd Denial-of-Service), heeft drie varianten, en wordt geacht praktisch in de echte wereld (in tegenstelling tot de meeste andere web cache-aanvallen).
Hoe CPDoS aanvallen werken
CPDoS aanvallen zijn gericht op de twee componenten van de moderne web — (1) web servers en (2) content delivery networks.
Web servers opslaan van de originele website en de inhoud ervan, terwijl Cdn ‘ s opslaan in het cachegeheugen opgeslagen kopie van de website dat alleen vernieuwd op bepaalde tijdstippen.
Ondanks hun eenvoudige rol, Cdn ‘ s zijn een cruciaal onderdeel van het moderne internet, als ze kan verlichten de belasting op web servers. In plaats van een web-server computing dezelfde verzoek van de gebruiker, over en weer, een CDN kan bieden een aantal van de inkomende gebruikers met een kopie van de website, tot de CDN wordt vernieuwd met een nieuwe versie.
Cdn ‘ s zijn widey gebruikt. Een aanval op een CDN systeem kan verwoestende gevolgen hebben op een website van de beschikbaarheid van, en, vandaar, de rentabiliteit.
In deze context, de CPDoS werk als volgt:
Een hacker verbinding maakt met een website tot aan zijn verzoek is degene die genereert een nieuwe CDN entryThe aanvaller aanvraag bevat een kwaadaardige oversized HTTP headerThe CDN kunt deze header wordt doorgegeven naar de legitieme site, zodat het kan worden verwerkt en het genereren van een webpagina voor de CDN te cacheThe oversized kop loopt vast op het web serverThe server genereert een fout pagina (“400 Bad Request” fout)De fout pagina is opgeslagen op de CDNOther gebruikers toegang tot de site voor de fout pagina in plaats van de werkelijke websiteThe cache fout zich uitbreidt naar andere knooppunten van de CDN-netwerk, het creëren van een nep-uitval op een legitieme site
Afbeelding: Nguyen et al.
Volgens het onderzoeksteam, de drie varianten van de CPDoS aanval bestaat, afhankelijk van de HTTP-header type aanvallers besluit gebruik te maken van:
HTTP-Header Oversize (HHO)HTTP Meta Teken (HMC)HTTP Methode Overschrijven (HMO)
We zullen niet over de technische verschillen van elke aanval, aangezien dit uit dit artikel toepassingsgebied. Meer informatie en demo ‘ s zijn beschikbaar op deze website of in de onderzoeker CPDoS wit papier.
CPDoS aanvallen geacht praktische
Tijdens het onderzoek naar de bruikbaarheid van CPDoS aanvallen, de TH Koln team zei ze erin geslaagd uit te voeren wijdverbreide cache poisoning aanval tegen een test website gehost op het netwerk van verschillende CDN aanbieders.
Bijvoorbeeld, de kaart toont een aanvaller (gevaar-symbool) lanceren een aanval op een legitieme site van CDN van de server (blauwe markering), die vervolgens verspreid de cache error pagina voor andere CDN servers (rode markeringen), vergiftiging een groot deel van een CDN provider netwerk.
Afbeelding: Nguyen et al.
Dergelijke atacks als hierboven geportretteerde maken van langdurige downtime voor legitieme sites, het aangaan van financiële verliezen voor de eigenaar van de website.
Het goede nieuws is, dat niet alle web servers (HTTP protocol implementaties) en CDN netwerken zijn kwetsbaar.
De tabel hieronder laat zien welke server+CDN combinaties kwetsbaar zijn, volgens de onderzoekers testen.
Afbeelding: Nguyen et al.
Oplossingen bestaan
Oplossingen tegen CPDoS aanvallen, gelukkig bestaan. De eenvoudigste oplossing is dat website-eigenaren configureren van de dienst van CDN van niet in de cache HTTP-fout pagina ‘ s standaard.
Veel CDN service providers zijn dergelijke instellingen in hun dashboards, dus dit zal niet een moeilijke stap om te nemen.
Als website-eigenaren geen controles in hun CDN web dashboard uitschakelen van de cache van de error pagina ‘ s, ze kan uitschakelen dit vanuit hun server configuratie bestanden door het toevoegen van de “Cache-Control: no-store” HTTP-header om elke fout type pagina.
De meer ingewikkelde oplossing om te gaan met CPDoS aanvallen zich met het CDN van de aanbieders zelf, die zal waarschijnlijk nodig hebt om te wijzigen hoe hun producten werken.
Om uit te leggen — en volgens het onderzoeksteam-de reden dat sommige CDN aanbieders zijn kwetsbaar voor CPDoS aanvallen omdat ze het niet volgen van internet caching protocollen.
“Het web caching standaard staat alleen [Cdn’ s] om de cache van de fout codes 404, 405 Methode Niet Toegestaan, 410 Gegaan en 501 not Implemented,” het onderzoeksteam zei, er op te wijzen dat Cdn ‘s mogen niet worden cachen” van de “400 Bad Request” fout-pagina ‘ s gegenereerd door CPDoS aanvallen.
“Dus, caching fout pagina’ s volgens het beleid van de HTTP standaard is de eerste stap om te voorkomen dat CPDoS aanvallen,” zei ze.
Het nemen van deze aanpak is complexer en vereist wat werk gedaan wordt in de backend van de vele CDN aanbieders. Tot dan, de eerste tegenmaatregelen zijn gemakkelijker toe te passen.
Sinds CPDoS aanvallen zijn praktisch mogelijk, met minimale inspanning de meeste website-eigenaren in staat moeten zijn om de beveiliging van hun servers tegen mogelijk misbruik.
Onderzoekers waarschuwen voor webmasters niet te negeren het probleem. Volgens hun proeven, 30% van de Alexa Top 500 websites, 11% van het Departement van Defensie, domeinen, en 16% van de Url ‘ s van een 365 miljoen URL monster verkregen van een Google-Big Query archief potentieel kwetsbaar voor CPDoS aanvallen.
Veiligheid
Grote duitse fabrikant nog steeds naar beneden een week na geraakt door ransomware
NordVPN bevestigt data center inbreuk
Google met de uitrol van update ‘in de komende maanden op te lossen Pixel 4 Face Unlock bypass
De reden waarom je nodig hebt om na te denken over de veiligheid van de toeleveringsketen (ZDNet YouTube)
Beste home security 2019: Professionele monitoring en DIY (CNET)
Het beveiligen van uw Apple-Kaart (TechRepublic)
Verwante Onderwerpen:
Cloud
Beveiliging TV
Data Management
CXO
Datacenters