近日德國一組網(wǎng)絡安全研究人員發(fā)現(xiàn)了一種針對網(wǎng)絡緩存系統(tǒng)的新的緩存中毒攻擊，攻擊者可以利用這種攻擊迫使目標網(wǎng)站向大多數(shù)訪問者提供錯誤頁面，而不是合法的內(nèi)容或資源。

這個問題影響到Varnish等反向代理緩存系統(tǒng)，以及一些廣泛使用的內(nèi)容分發(fā)網(wǎng)絡(CDNs)服務，包括Amazon CloudFront、Cloudflare、Fastly、Akamai和CDN77。

簡而言之，內(nèi)容分發(fā)網(wǎng)絡(CDN)是一組地理上分布的服務器，它們位于網(wǎng)站的原始服務器和訪問者之間，以優(yōu)化網(wǎng)站的性能。

CDN服務只是簡單地存儲/緩存來自源服務器的靜態(tài)文件(包括HTML頁面、java文件、樣式表、圖像和視頻)，并更快地將它們交付給訪問者，而無需一次又一次地返回到源服務器。

每個地理上分布的CDN服務器也共享緩存文件的副本，并根據(jù)其位置將其提供給訪問者。

通常，在定義時間或手動清除之后，CDN服務器通過從原始服務器檢索每個web頁面的新更新副本來刷新緩存，并將它們存儲起來以備將來的請求。

CPDoS攻擊是如何對付CDNs的?

這種攻擊被稱為CPDoS，是緩存中毒拒絕服務的縮寫。CDN中間服務器被錯誤配置為緩存web資源或頁面，其中包含原始服務器返回的錯誤響應。

根據(jù)三位德國學者(Hoai Viet Nguyen、Luigi Lo Iacono和Hannes Federrath)的說法，CPDoS攻擊僅通過發(fā)送一個包含格式錯誤的標頭的HTTP請求，就威脅到網(wǎng)站web資源的可用性。

“當攻擊者可以為可緩存的資源生成HTTP請求時，問題就出現(xiàn)了，其中的請求包含不準確的字段，這些字段被緩存系統(tǒng)忽略，但是在原始服務器處理時引發(fā)錯誤。”

CPDoS攻擊的工作原理:

遠程攻擊者通過發(fā)送包含格式錯誤的標頭的HTTP請求來請求目標網(wǎng)站的web頁面。

如果中間的CDN服務器沒有所請求資源的副本，它將把請求轉(zhuǎn)發(fā)給源web服務器，而源web服務器將由于格式錯誤而崩潰。

因此，原始服務器隨后返回一個錯誤頁面，該錯誤頁面最終由緩存服務器存儲，而不是由請求的資源存儲。現(xiàn)在，每當合法的訪問者試圖獲取目標資源時，他們將獲得緩存的錯誤頁面，而不是原始內(nèi)容。

CDN服務器也會將相同的錯誤頁面?zhèn)鞑サ紺DN網(wǎng)絡的其他邊緣節(jié)點，導致受害者網(wǎng)站的目標資源不可用。

值得注意的是，一個簡單的請求就足以用一個錯誤頁面替換緩存中的真實內(nèi)容。這意味著這樣的請求仍然低于web應用程序防火墻(WAFs)和DDoS保護的檢測閾值，特別是當它們掃描大量不規(guī)則網(wǎng)絡流量時。”

此外，可以利用cpdo來阻止通過緩存分發(fā)的補丁或固件更新，從而防止設備和軟件中的漏洞被修復。攻擊者還可以禁用關鍵任務網(wǎng)站(如網(wǎng)上銀行或官方政府網(wǎng)站)上的重要安全警報或消息。”

3種CPDoS攻擊類型

要對CDNs執(zhí)行這種緩存中毒攻擊，有三種類型的HTTP請求:

HTTP頭文件大小過大(HHO)——在web應用程序使用比原始服務器接受更大的頭文件大小限制的緩存的情況下，包含超大頭文件的HTTP請求。

HTTP元字符(HMC)——這種攻擊不發(fā)送過大的報頭，而是嘗試使用包含有害元字符的請求報頭繞過緩存，如換行/回車(\n)、換行(\r)或鈴聲(\a)。

HTTP方法覆蓋(HMO)——使用HTTP覆蓋頭繞過禁止刪除請求的安全策略。

易受CPDoS攻擊的CDN服務

研究人員針對web緩存系統(tǒng)和HTTP實現(xiàn)的不同組合進行了三次攻擊，發(fā)現(xiàn)Amazon的CloudFront CDN最容易受到CPDoS攻擊。

測試結(jié)果如下:

該團隊于2019年2月19日向受影響的HTTP實現(xiàn)供應商和緩存提供商報告了他們的發(fā)現(xiàn)。

Amazon Web Services (AWS)團隊確認了CloudFront上的漏洞，并通過禁止在默認情況下緩存狀態(tài)碼為400 Bad Request的錯誤頁面解決了這個問題。

微軟在其2019年6月的月度安全更新中也承認了報告的問題，并發(fā)布了一個更新來緩解這一漏洞，命名為CVE-2019-0941。

Play Framework還通過限制Play Framework版本1.5.3和1.4.6中X-HTTP-Method-Override頭文件的影響，確認了報告的問題，并為其產(chǎn)品打了針對CPDoS攻擊的補丁。

天下數(shù)據(jù)高防：防得住、用得起、接得快、玩得好、看得見、雙向數(shù)據(jù)加密！詳詢天下數(shù)據(jù)客服電話400-6388-808。

本文鏈接：http://m.51huadong.com/cloundnews/11004044.html