ΑρχικήsecurityΕπίθεση CPDoS επηρεάζει το CDN για την διανομή σελίδων σφάλματος

Επίθεση CPDoS επηρεάζει το CDN για την διανομή σελίδων σφάλματος

CPDoS

Ένα νέο είδος επίθεσης, το οποίο επηρεάζει δίκτυα παροχής περιεχομένου (CDN) ώστε να διανέμουν σελίδες σφάλματος αντί για νόμιμους ιστότοπους, εντοπίστηκε από δύο ακαδημαϊκούς του Technical University of Cologne (TH Köln).

Η επίθεση έχει ονομαστεί CPDoS (Cache-Poisoned Denial-of-Service) και διαθέτει τρεις παραλλαγές.

Πώς λειτουργεί;

Οι επιθέσεις CPDoS στοχεύουν σε δύο συνιστώσες του web, τους web servers και τα CDNs.

Οι Web servers αποθηκεύουν τον αρχικό ιστότοπο και το περιεχόμενό του, ενώ τα CDNs αποθηκεύουν ένα αντίγραφο του ιστότοπου, που ανανεώνεται μόνο σε συγκεκριμένα χρονικά διαστήματα.

Ωστόσο παρά τον απλό ρόλο που διαδραματίζουν, τα CDNs αποτελούν ένα κρίσιμο μέρος του σύγχρονου διαδικτύου, καθώς μπορούν να ελαφρύνουν το φορτίο στους web servers, καθώς βοηθούν έτσι ώστε οι web servers να μην χρειάζεται να επεξεργάζονται το ίδιο αίτημα χρήστη ξανά και ξανά, παρέχοντας σε μερικούς από τους χρήστες ένα αντίγραφο του ιστότοπου, έως ότου ανανεωθεί με μια νέα έκδοση.

Καθώς τα CDN χρησιμοποιούνται ευρέως, μία επίθεση σε ένα τέτοιο δίκτυο θα μπορούσε να αποδειχθεί καταστροφική για την διαθεσιμότητα ενός ιστότοπου και κατ’ επέκταση και στα κέρδη του.

Η επίθεση CPDoS περιλαμβάνει τα εξής στάδια:

  • Ένας εισβολέας συνδέεται με έναν ιστότοπο μέχρι το αίτημα του να είναι αυτό που δημιουργεί μια νέα καταχώρηση CDN
  • Το αίτημα του εισβολέα περιέχει ένα επικίνδυνο υπερμέγεθες HTTP header
  • Το CDN επιτρέπει σε αυτό το header να περάσει στον νόμιμο ιστότοπο, ώστε να μπορεί να επεξεργαστεί και να δημιουργήσει μια ιστοσελίδα για την αποθήκευση του CDN
  • Το υπερμέγεθες header συντρίβει τον web server
  • Ο server δημιουργεί μια σελίδα σφάλματος (“Σφάλμα 400”)
  • Η σελίδα σφάλματος αποθηκεύεται στο cache στο CDN
  • Άλλοι χρήστες που έχουν πρόσβαση στον ιστότοπο λαμβάνουν τη σελίδα σφάλματος αντί του πραγματικού ιστότοπου
  • Το κρυπτογραφημένο σφάλμα εξαπλώνεται σε άλλους κόμβους του δικτύου του CDN, δημιουργώντας μια πλαστή διακοπή σε έναν νόμιμο ιστότοπο

Οι τρεις παραλλαγές που ανακαλύφθηκαν από την ερευνητική ομάδα είναι:

  • HTTP Header Oversize (HHO)
  • HTTP Meta Character (HMC)
  • HTTP Method Override (HMO)

Πόσο εύκολο είναι να πραγματοποιηθεί μία επίθεση CPDoS

Κατά τη διάρκεια της έρευνας σχετικά με την πρακτικότητα των επιθέσεων CPDoS, η ομάδα του TH Koln δήλωσε ότι κατάφερε να εκτελέσει εκτεταμένες επιθέσεις επηρεάζοντας τη μνήμη cache των ιστοσελίδων που δοκίμασαν στο δίκτυο CDN.

Τέτοιες επιθέσεις μπορούν να προκαλέσουν παρατεταμένη διακοπή σε νόμιμους ιστότοπους, προκαλώντας οικονομικές απώλειες στους ιδιοκτήτες τους.

Τα καλά νέα είναι ότι δεν είναι ευάλωτοι όλοι οι web servers και τα δίκτυα CDN σε αυτή την επίθεση.

Υπάρχουν ευτυχώς, μετριασμοί κατά των επιθέσεων CPDoS. Η απλούστερη λύση είναι οι ιδιοκτήτες ιστότοπων να ρυθμίσουν την υπηρεσία CDN ώστε να μην αποθηκεύει προσωρινά τις σελίδες σφαλμάτων HTTP. Πολλοί πάροχοι υπηρεσιών CDN περιλαμβάνουν τέτοιες ρυθμίσεις στους πίνακες ελέγχου τους, οπότε δεν είναι κάτι δύσκολο.

Εάν οι ιδιοκτήτες ιστότοπων δεν διαθέτουν αυτή τη δυνατότητα, μπορούν να την απενεργοποιήσουν από τα αρχεία ρυθμίσεων του server τους, προσθέτοντας το “Cache-Control: no-store” HTTP header σε κάθε τύπο σελίδας σφάλματος.

Η πιο περίπλοκη λύση για την αντιμετώπιση των επιθέσεων CPDoS παρέχεται από τους παρόχους CDN, οι οποίοι πιθανόν θα πρέπει να τροποποιήσουν τον τρόπο με τον οποίο λειτουργούν τα προϊόντα τους.

Η υιοθέτηση αυτής της προσέγγισης απαιτεί ορισμένες ενέργειες στο backend πολλών παρόχων CDN. Μέχρι όμως να γίνει αυτό, προτείνεται να χρησιμοποιούνται τα πιο απλά εφαρμόσιμα μέτρα.

Δεδομένου ότι οι επιθέσεις CPDoS είναι πρακτικά εφικτές, οι περισσότεροι ιδιοκτήτες ιστότοπων θα πρέπει να είναι σε θέση να εξασφαλίζουν τους διακομιστές τους από τυχόν κατάχρηση.

Οι ερευνητές προειδοποιούν να μην αγνοήσουν το πρόβλημα. Σύμφωνα με τις δοκιμές τους, το 30% των ιστότοπων Alexa Top 500, το 11% των domain του Υπουργείου Άμυνας και το 16% των διευθύνσεων URL από ένα δείγμα 365 εκατομμυρίων URL που αποκτήθηκε από ένα αρχείο Google Big Query, ήταν δυνητικά ευάλωτο σε επιθέσεις CPDoS.

Absenta Mia
Absenta Miahttps://www.secnews.gr
Being your self, in a world that constantly tries to change you, is your greater achievement

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS