研究人员确定了一种新的影响CDN的缓存中毒攻击,该攻击可能会阻塞Web资源和站点

TL; DR: 去年年底,德国的研究人员发现了内容分发网络(CDN)中的一个漏洞,即所谓的缓存中毒拒绝服务攻击(CPDoS)。在对15种Web缓存解决方案的广泛研究中,研究人员分析了这些攻击的影响并提供了适当的对策。考虑到数字安全领域没有余地,学者们计划继续研究解决方案,以缓解日益复杂的此类漏洞.


如今,似乎所有事物都存在阴暗面-包括创新。网络犯罪分子一直在寻找新颖的方法来瞄准受害者,这使得当今的威胁形势尤为险峻.

根据Cyber​​security Ventures在2016年的一份报告,到2021年,网络犯罪每年将给世界造成超过6万亿美元的损失。这比所有非法药物的全球贸易总和还多.

为了与这种流行病作斗争,研究人员希望在犯罪分子有机会造成伤害之前发现漏洞并将其披露给处于风险的企业。此类示例就是“缓存中毒的拒绝服务攻击(CPDoS)”,这是一种新发现的技术,恶意行为者可以使用该技术来阻止对Web资源和网站的访问.

CPDoS由德国研究人员Hoai Viet Nguyen,Luigi Lo Iacono和Hannes Federrath发现,并于2019年10月22日推出,通过内容分发网络(CDN)分发或存储在代理缓存中.

研究员Hoai Viet Nguyen(“ Viet”)和CPDoS徽标

研究员Hoai Viet Nguyen(“ Viet”)向我们深入介绍了影响CDN的CPDoS漏洞.

“通过在原始服务器上引发中间缓存系统未检测到的错误,缓存将被服务器生成的错误页面所毒化,并被配置为提供这种无用的内容而不是预期的内容,从而使受害者服务不可用。”研究人员在研究论文中解释说:“您的缓存已下降:缓存中毒的拒绝服务攻击。”

CPDoS尤其危险,因为攻击会使CDN缓存中毒,从而将错误页面分发到世界各地的边缘缓存服务器,从而可能导致大规模中断.

“缓存是一个复杂的机制,” Hoai Viet Nguyen(“ Viet”)告诉我们。 “许多CDN提供商并没有很好地理解它-知识的匮乏。在将具有缓存的网站投入生产之前,您应该进行大量测试,以减轻CPDoS和其他与缓存有关的攻击。”

研究人员已经彻底分析了这些攻击的影响,并通过其白皮书提供了适当的对策。但是,最终,数字安全领域将没有休息,学者们计划继续研究解决方案,以保护组织免受这些漏洞的影响.

发现缓存中毒的拒绝服务

Viet告诉我们,他的研究团队偶然发现了CPDoS。 “我们已经在缓存和CDN方面进行了大量研究,有一天,当我查看Amazon CloudFront CDN的文档时,我发现它们默认情况下缓存了不合适的错误代码400 Bad Request,并且头很大大小限制。”

经过一些实验,团队发现他们可以通过发送包含格式错误的标头的HTTP请求来触发错误页面。错误页面由缓存服务器存储后,它可以传播到地理位置分散的网络中的多个边缘节点,从而导致大规模拒绝服务.

除了警告CloudFront有关威胁外,研究人员还使Akamai,CDN77,Fastly,Cloudflare和Varnish意识到他们的CDN也很容易受到攻击。.

在CPDoS攻击中,恶意行为者可以阻止托管在代理缓存上或通过CDN分发的任何Web资源。.

总共存在三种CPDoS攻击:HTTP标头超大(HHO),HTTP元字符(HMC)和HTTP方法覆盖(HMO).

HHO CPDoS攻击利用了HTTP请求标头的大小限制的变化,该请求包含Web服务器和中间系统的基本信息。在这种情况下,网络罪犯可以攻击使用高速缓存的Web应用程序,该高速缓存接受比原始服务器更大的头部大小限制。服务器将阻止该请求,从而导致错误页面由缓存存储并在此后通过所有请求传播.

HMC CPDoS攻击没有发送过大的标头,而是使用有害的元字符(例如/ n,/ r或/ a)绕过带有请求标头的缓存,以触发错误页面。 CPDoS的最终变体,即HMO攻击,在中间系统阻止特定HTTP方法的情况下起作用.

对15种Web缓存解决方案的广泛研究

Viet和他的研究员在“您的缓存已下降:缓存中毒的拒绝服务攻击”中,详细介绍了他们在2019年2月在15种Web缓存系统上进行的实验的结果:Apache HTTP Server,Apache Traffic Server,Nginx,Squid,Varnish ,Akamai,Azure,CDN77,CDNsun,Cloudflare,Amazon CloudFront,Fastly,G-Core Labs,KeyCDN和StackPath.

最终,研究人员发现,不同的Web缓存系统对和HTTP实现对(例如ASP.NET,IIS,Tomcat和Amazon S3等)导致了各种CDN中的漏洞。到目前为止,CloudFront受到的影响最大,跨不同平台的HHO,HMC和HMO漏洞.

自从收到这些漏洞的通知以来,Viet说受影响的公司已采取措施减轻CPDoS攻击,并且大多数问题已得到解决(尽管某些组织的行动速度比其他组织快).

考虑到CPDoS攻击用于恶意目的可能产生的影响,这令人放心.

Viet说:“ CPDoS可用于阻止关键任务站点,例如政府网站和在线银行,禁用灾难性警告信息,或阻止通过缓存分发的补丁程序和固件更新,以防止修复软件和设备中的漏洞。” “恶意行为者可以做很多事情来破坏网站。”

积极研究缓解攻击的方法

幸运的是,研究人员已经确定了内容提供商可以采取的多种措施来保护用户免受CPDoS攻击。避免攻击的第一步是根据HTTP标准缓存错误页面.

Viet说:“许多CPDoS攻击和其他基于缓存的攻击是CDN和缓存提供程序不遵守策略和规范的问题所致。”.

例如,Web缓存标准规定内容提供商只能缓存以下错误代码:404未找到,405方法未允许,410已消失和501未实现。在许多情况下,研究人员实验中的漏洞是由默认错误代码(例如400 Bad Request)引起的.

提供程序还可以从缓存中排除错误页面,或者在缓存前部署Web应用程序防火墙.

Viet说,展望未来,随着威胁变得更加复杂,研究团队将致力于减轻CPDoS攻击的其他方法。它们一直在不断发展:例如,在2019年3月,内森·戴维森(Nathan Davison)使用CORs标头检测到一个新的变体,并在2020年2月,他引入了另一个影响CloudFoundry GoRouter的新变体.

他说:“我们已经在研究论文中提出了几种缓解这些攻击的解决方案,但是将来,随着攻击变得越来越复杂,我们将需要提供更多解决方案。”.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me