Главная » Блоги Экспертов И ИТ-Компаний » Что такое CPDoS, и чем он опаснее других атак на кэширующий прокси

Что такое CPDoS, и чем он опаснее других атак на кэширующий прокси

Эксперты из Германии обнаружили и исследовали новый тип атаки на функции хэширования, которой подвержено большинство популярных Content Delivery Network (CDN) серверов в совокупности в web-серверами. Атака Cache-Poisoned Denial-of-Service (CPDoS) направлена на встроенные механизмы кэширования сетей доставки контента CDN и веб-серверов. Суть атаки заключается в подмене правильного ответа веб-сервера на ошибочный кэш, «отравленный» злоумышленником, и сохраненный на CDN ресурсе – отсюда происходит название атаки «Отказ в обслуживании через отравление кэша».

Суть атаки в следующем:

Атакующий направляет специально сформированный HTTP запрос на CDN сервис интересующего ресурса. Вредоносный HTTP запрос может быть следующих типов (отсюда типизация самой атаки, разные пары CDN+Web уязвимы разным типам запросов):

  • HTTP Header Oversize (HHO) – превышенный размер заголовка HTTP запроса. Протокол HTTP не определяет лимита, он определяется непосредственно реализацией. И, в частности, Apache HTTPD устанавливает 8192 байта, а Amazon Cloudfront CDN – 20480 байт, и поэтому данный запрос вынудит web-сервер на Apache ответить ошибкой, что делает возможной атаку CPDoS HHO на эту пару сервисов.
  • HTTP Meta Character (HMC) – аналогично предыдущему типу использует в таких же целях метаданные в HTTP заголовке. Механика атаки такая же, как в HHO.
  • HTTP Method Override (HMO) – используются нюансы работы с HTTP методами (GET, POST, DELETE, PUT). Некоторые промежуточные узлы передачи web-трафика (балансировщики, прокси, и т.д.) поддерживают ограниченный набор методов (GET, PUT), поэтому в web фреймворке и REST API существуют заголовки туннелирования методов: X-HTTP-Method-Override, X-HTTP-Method or X-Method-Override. Именно этот тип заголовка используется в атаке CPDoS по аналогичному сценарию.

Полученный HTTP запрос CDN ресурс направит на web-сервер. И web-сервер ответит страницей ошибки, которая будет захэширована CDN ресурсом. Далее, все запросы на эту страницу будут отрабатываться из хэша CDN ресурса. И определенный контент станет недоступен легитимному пользователю, вместо нужной страницы пользователь будет получать страницу ошибки.

Успешная реализация атаки чревата потерей доступа на чтение к определенному контенту сайта, выбранного злоумышленником. Например, важное новостное событие, маркетинговая публикация или важная справочная информация, контактные данные – все это может повлиять на требуемую посещаемость и отрицательно отразиться на прибыли компании.

Отличием атаки является то, что она была воспроизведена исследователями из Гамбургского и Кёльнского университетов на большом количестве пар - движок веб-сервера + сеть доставки контента, среди которых встречаются распространенные. Полная таблица проверенных исследователями и задетектированных вариантов расположена на ресурсе: https://cpdos.org/.

Одним из методов защиты является выставление заголовка "Cache-Control: no-store", запрещающего кэширование ответов. Или отключение в CDN кэширования ошибок, использование WAF систем перед CDN сервисами. 

Источник

 


Данный материал является частной записью члена сообщества Club.CNews.
Редакция CNews не несет ответственности за его содержание.
10 месяцев назад
Комментарии
Другие публикации
RU, Москва
angaratech.ru, Менеджер
8 (495) 269-26-06
Информационные технологии

Группа компаний ANGARA, представленная головной организацией Angara Technologies Group и сервис-провайдером Angara Professional Assistance, предоставляет полный спектр услуг по информационной безопасности, начиная с поставки и внедрения оборудования и ПО, заканчивая комплексом мероприятий по сопровождению ИТ- и ИБ-систем клиентов.

⭐ ТОП-10 самых быстрорастущих ИТ-компаний России (7 место, CNews); ⭐ ТОП-20 крупнейших компаний информационной безопасности (13 место, TAdviser); ⭐ ТОП-20 крупнейших поставщиков для банков (19 место, TAdviser); ⭐ ТОП-100 крупнейших ИТ-компаний России по версии CNews  и TAdviser.

Angara Technologies Group была основана в 2015 году группой из 10 единомышленников. Сегодня компания имеет развитую партнерскую сеть из более чем 100 российских и зарубежных производителей в области информационной безопасности, включая Гарда Технологии, Код Безопасности, Kaspersky, R-Vision, Krontech, Palo Alto, Positive Technologies, Trend Micro и других.

В штате Angara Technologies Group более 140 сотрудников высокого уровня квалификации. На счету компании более 70-ти реализованных проектов.

Angara Professional Assistance — это высокотехнологичный сервис-провайдер, предоставляющий сервисы по модели Security as a service, по аутсорсингу информационной безопасности, услуги по сопровождению и поддержке работоспособности ИТ- и ИБ-систем клиентов, повышению эффективности их работы и обеспечению непрерывности выполняемых функций.

Нам доверяют крупнейшие компании из банковской и промышленной  сфер, телеком-компании и государственные структуры.




Забыли пароль?
Зарегистрируйся сейчас!
Присоединяйся к нашему обществу для того чтобы познакомиться с новыми людьми, создать собственный блог, публиковать анонсы событий и объявления, а также участвовать в обсуждении публикаций CNews. Мы создали единое пространство для общения специалистов рынка информационных технологий и всех, кто интересуется современными технологиями. Регистрация =>