رفتن به محتوای اصلی
ثبت گزارش
ثبت گزارش
1399-01-04 20:11
تنظیم اندازه قلم

پ

5:33
کد خبر: 145586

حملات جدید به حافظه پنهان(CACHE) به مهاجمان اجازه می‌دهند که سایت‌های محافظت شده توزیع محتوا (CDN) را هدف قرار دهند

تیمی از محققان امنیت سایبری آلمان‌، یک حمله جدید به حافظه پنهان سیستم‌های ذخیره سازی وب را کشف کرده‌اند که توسط مهاجمان مورد سوء استفاده قرار می‌گیرند که از طریق آن وب سایت هدفمند را مجبور می‌کنند تا به جای محتوا یا منابع قانونی‌، صفحات تقلبی را به  بازدید کنندگان خود تحویل دهند.

این مشکل می‌تواند سایت‌هایی را که در ارتباط با سیستم‌های پراکسی معکوس هستند مانند وارنیش و برخی از سرویس‌های گسترده توزیع محتوا از جمله‌Amazon CloudFront ، Cloudflare ، Fastly ، Akamai و CDN77 ‌، را تحت تأثیر قرار دهد.

به طور خلاصه‌، یک شبکه توزیع محتوا (CDN) یک گروه سرور توزیع شده از لحاظ جغرافیایی است که بین سرور مبدا یک وب سایت و بازدید کنندگان آن وب سایت قرار می‌گیرد تا عملکرد وب سایت بهینه شود.

یک سرویس CDN به راحتی می‌تواند پرونده‌های استاتیک از جمله صفحات HTML‌، پرونده‌های جاوا اسکریپت‌، شیوه نامه‌ها‌، تصاویر و فیلم‌ها را از سرور مبدا ذخیره کرده و بدون اینکه دوباره و دوباره به سرور مبدأ برگرداند، آن‌ها را سریعتر به بازدید کنندگان برساند.

هر یک از سرورهای CDN که از نظر جغرافیایی توزیع شده‌اند‌، به عنوان گره‌های لبه (بهینه ساز اطلاعات وزمان و حفظ امنیت شبکه) شناخته می‌شوند‌، همچنین کپی دقیقی از پرونده‌های حافظه پنهان را به اشتراک می‌گذارند و بر اساس موقعیت مکانی آن‌ها‌، در اختیار بازدید کنندگان قرار می‌دهند.

به طور کلی، پس از یک زمان معین و یا زمانی که به صورت دستی پاک‌سازی می‌شود، سرورهای CDN با بازیابی یک نسخه جدید از هر صفحه وب از سرور مبدا، حافظه نهان را بازیابی می‌کنند و آن‌ها را برای درخواست‌های آینده ذخیره می‌کنند.

چگونه حمله CPDoS در برابر CDN کار می‌کند؟

cdn-cache-poisoning-denial-of-service.png

واژه CPDOS خلاصه شده Poisoned Denial of Service ‌حمله به حافظه پنهانCache است. این حمله در مسیرCDN میانی قرار دارد که برای دسترسی به منابع وب و یا صفحات با پاسخ‌های اشتباه پیکربندی شده که به وب سایت مبدا برگردانده می‌شوند.

طبق گفته سه دانشگاه آلمانی‌، هوای ویت نگوین‌، لوئیجی لو ایاکونو و هانز فدرات‌، حمله CPDoS دسترسی به منابع وب سایت را فقط با ارسال یک درخواست HTTP حاوی خطا تهدید می‌کند.(HTTP پروتکلی است که برای ایجاد ارتباط، دریافت، و ارسال داده‌ها بین سرور و کلاینت استفاده می شود.)

‌این مشکل زمانی بوجود می‌آید که یک مهاجم بتواند درخواست پروتکل HTTP برای منبع ذخیره شده ایجاد کند که  آن درخواست شامل فیلدهای نادرستی باشد که توسط سیستم حافظه پنهان نادیده گرفته می‌شود اما هنگام پردازش توسط سرور مبدا خطایی ایجاد می‌کند.‌

در اینجا نحوه عملکرد حمله CPDoS آورده شده است:

●     یک مهاجم از راه دور با ارسال یک درخواست HTTP حاوی یک سرتیترنادرست‌، یک صفحه وب را از سایت هدف را درخواست می‌کند.

●    اگر سرور CDN میانی کپی از منبع درخواستی را نداشته باشد‌، درخواست را به سرور مبدا ارسال می‌کند‌، که به دلیل سرتیتر نادرست خراب می‌شود.

●    در نتیجه‌، سرور مبدا یک صفحه خطا را برمی‌گرداند‌، که در نهایت به جای منبع درخواست شده توسط حافظه پنهان سرور ذخیره می‌شود.

●    بعد از این هر زمان که بازدید کنندگان سعی در به دست آوردن منبع مورد نظر داشته باشند‌، به جای محتوای اصلی‌، صفحه خطای ذخیره شده ںمایان می‌شود.

●    سرور CDN همچنین همان صفحه خطا را در سایر شبکه CDN  پخش خواهد کرد‌، و منابع مورد هدف از وب سایت قربانی را در دسترس نخواهد داشت.

‌شایان ذکر است که یک درخواست ساده برای جایگزینی محتوای اصلی در حافظه پنهان توسط یک صفحه خطا کافی است. این بدان معنی است که چنین درخواستی درپرتال تشخیص فایروال  برنامه‌های وب (WAF) و ابزارهای حفاظت DDoS باقی می‌ماند‌، زیرا آن‌ها مقادیر زیادی از ترافیک نامنظم شبکه را اسکن می‌کنند. ‌

‌علاوه بر این‌، CPDoS  درمسدود کردن وصله‌ها پچ ها  یا به روزرسانی‌های سیستم عامل از طریق حافظه پنهان و جلوگیری از رفع آسیب پذیری در دستگاه‌ها و نرم افزارها مورد سوء استفاده قرار می‌گیرد. مهاجمان همچنین می‌توانند هشدارها یا پیام‌های امنیتی مهم را در وب سایت‌های مهم مانند بانکداری آنلاین یا وب سایت‌های رسمی دولتی غیرفعال کنند. ‌

3 راه برای راه اندازی حملات CPDoS:

برای انجام این حملات مسمومیت CDN‌ها‌، درخواست HTTP ناقص می‌تواند از سه نوع باشد:‌هدف از مسمومیت  حافظه پنهان‌، ارسال درخواستی است که باعث می‌شود یک پاسخ نادرست که در حافظه پنهان ذخیره شده  در اختیار سایر کاربران قرار  گیرد.‌

HTTP Header Oversize-HHO
درخواست HTTP شامل یک خطای بزرگ است که  در جاهایی کار می‌کند  که یک برنامه وب از حافظه پنهان استفاده می‌کند و اندازه بزرگتری از سرتیتر را از سرور مبدا قبول می‌کند.

HTTP Meta Character -HMC
به جای ارسال یک خطای بزرگ‌، این حمله سعی می‌کند با یک سرتیتردرخواست حاوی یک نشان متا مضر‌، یک حافظه پنهان را دور بزند‌، مانند پایان خط / بازگشت (\ n)‌، فید خط (\ r) یا زنگ (\ a).

HTTPMethodOverride-HMO
با استفاده از تیتر خطا HTTP برای دور زدن اصول امنیتی که درخواست‌های حذف را ممنوع  می‌کند.

کارکردهای CDN که در برابر حملات CPDoS آسیب پذیر است.

محققان سه حمله علیه ترکیبات مختلف سیستم‌های ذخیره سازی وب و پیاده سازی‌های HTTP انجام دادند و دریافتند که CloudFront CDN آمازون در برابر حملهCPDoSآسیب پذیرتر است.

یکی از محققان  The Hacker news در توییتر تأیید کرد: ما عمل پنهان سازی صفحات خطا  را در‌۱۰ ‌حافظه نهان وب تجزیه و تحلیل می‌کنیم و آن‌ها را با مشخصات HTTP مقایسه می‌کنیم. یک محصول حافظه پنهان پراکسی و پنج سرویس CDN را شناسایی کردیم که در برابر حملات CPDoS آسیب پذیر هستند.

لازم به ذکر است‌، سایت‌هایی که در پشت برخی از سرویس‌های CDN ذکر شده قرار دارند‌، به دلیل تنظیم نادرست‌ مانع از ذخیره صفحات خطا نمی‌شوند‌، و به دلیل ضعف در سرویس CDN مربوطه‌، آسیب پذیر نیستند.

وی گفت: ‌طبق آزمایشات ما‌، CDN77 سازگار با RFC است و صفحات خطایی را ذخیره نمی‌کند که ممکن است مطابق مشخصات ذخیره شوند. ما موافق هستیم که CDN77 باعث آسیب پذیری CPDoSکه ما کشف کردیم نمی شود.

‌وب سایت‌هایی که از CDN77 استفاده می‌کنند ممکن است در صورت تنظیمات نادرست سرور مبدأ در معرض سوءاستفاده CPDoS قرار گیرند یا راهی برای تحریک صفحات خطای ذخیره شده فراهم کنند. این خارج از حوزه کنترل سرویس ذخیره سازی است و به عهده دارنده خدمات است.‌

این تیم یافته‌های خود را در 19 فوریه 2019 به فروشندگان و ارائه دهندگان حافظه نهان که تحت تأثیر HTTP هستند‌، گزارش داده‌اند. تیم خدمات وب سایت آمازون (AWS) آسیب پذیری‌های موجود در CloudFront را تأیید کرده با ممنوع کردن بارگذاری صفحات خطا با کد وضعیت ۴۰۰ درخواست بد به طور پیش‌فرض، این موضوع را مورد خطاب قرار داد.

مایکروسافت همچنین موارد گزارش شده را تأیید کرد و به روزرسانی را که برای کاهش این آسیب پذیری‌، اختصاص داده شده به عنوان CVE-2019-0941 ، در به روزرسانی‌های امنیتی ماهانه ژوئن 2019 منتشر کرد.

همچنین بازی فریم وورک مشکلات گزارش شده را تائید کرد ومحصولات خود را در مقابل حمله CPDoS با محدود کردن تأثیر خطاX-HTTP-Method-Override در نسخه‌های فریم ورک 1.5.3 و 1.4.6 وصله پچ  کرد.

سایر فروشندگان تحت تأثیر‌، از جمله Flask‌، چندین بار با آن‌ها تماس گرفته شد، اما محققان هیچ جوابی از آن‌ها  دریافت نکردند.

 

کلمات کلیدی :

افزودن دیدگاه جدید

700X100.gif

اخبار مرتبط