Tým německých bezpečnostních odborníků objevil nový útok CPDoS, který umožňuje znepřístupnit weby skryté za CDN. Libovolný útočník tak posláním jediného dotazu stránku znepřístupní a legitimní návštěvník pak uvidí jen chybovou hlášku. Jedná se tedy vlastně o útok typu DoS, který je navíc velmi snadno uskutečnitelný.
Problém spočívá v tom, že některé reverzní proxy servery špatně zpracovávají a kešují chybové stránky a je tak možné keš otrávit a naplnit chybou, která je pak prezentována uživatelům. Stačí k tomu poslat požadavek s upravenou HTTP hlavičkou, kterou bude CDN ignorovat, ale předá ji ke zdroji obsahu. Ten pak na základě chybné hlavičky havaruje a předá proxy informaci o chybě, která je nakešována jako legitimní odpověď.
Problémový dotaz přitom může být tří typů: příliš velká hlavička, hlavička obsahující neobvyklé znaky či hlavička HTTP override obcházející zákaz příkazu DELETE. V každém případě musí hlavička projít přes CDN a problém způsobit až za ní na zdroji obsahu. Pak už jen stačí, aby proxy nerespektovala RFC a kešovala odpovědi s kódem 400, 403 nebo 500 a problém je na světě.
Tři němečtí akademici Hoai Viet Nguyen, Luigi Lo Iacono a Hannes Federrath o svém objevu vydali pojednání s názvem Your Cache Has Fallen: Cache-Poisoned Denial-of-Service Attack [PDF]. Zástupci provozovatelů CDN i vývojáři softwarových nástrojů byli o problému informováni už v únoru. Podívejte se na demonstraci zneužití této chyby:
