Hlavní navigace

DoS útok otrávením keše ohrožuje weby chráněné CDN

Sdílet

Petr Krčmář 23. 10. 2019
Jed jedovatý poison

Tým německých bezpečnostních odborníků objevil nový útok CPDoS, který umožňuje znepřístupnit weby skryté za CDN. Libovolný útočník tak posláním jediného dotazu stránku znepřístupní a legitimní návštěvník pak uvidí jen chybovou hlášku. Jedná se tedy vlastně o útok typu DoS, který je navíc velmi snadno uskutečnitelný.

Problém spočívá v tom, že některé reverzní proxy servery špatně zpracovávají a kešují chybové stránky a je tak možné keš otrávit a naplnit chybou, která je pak prezentována uživatelům. Stačí k tomu poslat požadavek s upravenou HTTP hlavičkou, kterou bude CDN ignorovat, ale předá ji ke zdroji obsahu. Ten pak na základě chybné hlavičky havaruje a předá proxy informaci o chybě, která je nakešována jako legitimní odpověď.

Problémový dotaz přitom může být tří typů: příliš velká hlavička, hlavička obsahující neobvyklé znaky či hlavička HTTP override obcházející zákaz příkazu DELETE. V každém případě musí hlavička projít přes CDN a problém způsobit až za ní na zdroji obsahu. Pak už jen stačí, aby proxy nerespektovala RFC a kešovala odpovědi s kódem 400, 403 nebo 500 a problém je na světě.

Tři němečtí akademici Hoai Viet Nguyen, Luigi Lo Iacono a Hannes Federrath o svém objevu vydali pojednání s názvem Your Cache Has Fallen: Cache-Poisoned Denial-of-Service Attack [PDF]. Zástupci provozovatelů CDN i vývojáři softwarových nástrojů byli o problému informováni už v únoru. Podívejte se na demonstraci zneužití této chyby:

Našli jste v článku chybu?
  • Aktualita je stará, nové názory již nelze přidávat.