Rumen bir güvenlik açığı araştırmacısı, bulut uygulamaları ve içerik dağıtım ağlarının (CDN’ler) kombinasyonlarında, CDN önbelleklerini zehirlemek ve uygulamalarda hizmet reddi (DoS) saldırılarına neden olmak için kullanılabilecek 70’ten fazla kusur keşfetti.
Aralık ayı sonlarında güvenlik araştırmacısı Iustin Ladunca, çeşitli içerik önbelleğe alma hizmetleri ve teknolojilerinin ana bilgisayar bilgilerinin büyük harf kullanımı, URL parçaları ve geçersiz değerler gibi yaygın başlık varyasyonlarını işleme biçiminde tutarsızlıklar bulduğunu açıkladı. Önbelleğe alma hizmeti veya teknolojisi, bilgileri farklı şekilde işleyebileceğinden – örneğin büyük harfli üstbilgilerin küçük harfle yazılması gibi – uygulama, önbelleğe alma hizmetinin geçerli bir uygulama yoluna dizinlenmiş olarak depolayacağı bir hata döndürebilir. Sonuç, geçerli HTML veya API isteklerinin önbelleğe alınmış hatayı döndürmesi ve esasen bir DoS koşulu oluşturması olacaktır.
Ladunca, araştırmanın Web önbelleklerinin zehirlenmesinin bulut uygulamaları için hala önemli bir tehdit olduğunu gösterdiğini söyledi. araştırmasının özeti.
“Web Önbelleği Zehirlenmesi yıllardır var olmasına rağmen, teknoloji yığınlarındaki artan karmaşıklık sürekli olarak yeni önbellek zehirlenmesi saldırıları gerçekleştirmek için kötüye kullanılabilecek beklenmedik davranışlar ortaya koyuyor” dedi.
Ladunca, daha fazla karmaşıklığın daha fazla güvenlik açığına neden olacağına ve önbellek zehirlenmesini araştırma için verimli bir alan haline getireceğine bahse girdi. “Bu ince tutarsızlık, hata ödül hedeflerinin iyi bir alt kümesini etkilediğinden, başka hangi ortak kalıpları tanımlayabileceğimi ve ölçekte kullanabileceğimi görmeye karar verdim” diye yazdı.
Bulut hizmetlerine ve web sitelerine erişimi engellemek için Web önbelleği zehirlenmesini kullanmak çok etkili bir DoS saldırısıdır. Tek bir istek, önbelleğe alındığında, önbellek yenilemeleri arasındaki süreye bağlı olarak bir sitenin, hizmetin veya belirli bir sayfanın saatlerce erişilemez hale gelmesine neden olabilir. Bir CDN’nin uygulamaya ilettiği ve uygulamanın bir istisna atmasına neden olan herhangi bir Web veya API isteği, önbelleği zehirleyebilir ve bir DoS saldırısına neden olabilir.
Üç yıl önce, güvenlik araçları üreticisi PortSwigger’in araştırma direktörü James Kettle, Black Hat hakkında bir sunum yaptı. “Pratik Web Önbelleği Zehirlenmesi” önbelleğe alınmış içeriğin döndürülüp döndürülmeyeceğini veya istekleri bir uygulamaya iletmeyi belirlemek için önbelleğe alma hizmetlerinin kullandığı karar sürecinden yararlanma yöntemlerini ana hatlarıyla belirtir.
Kettle, “Önbelleği zehirleyerek hizmet reddine neden olabileceğiniz belirli bir şey, bunu yapmanın pek çok yolu var – bunu yapabileceğiniz çılgınca sayıda yol var” diyor Kettle. “Şu anda böcek avlayarak biraz para kazanmam gerekseydi, bunu yapardım – ve bunu başka insanların yapıyor olması harika – ama tek bir kişinin hepsini bulması mümkün değil.”
Modern Önbellek Hizmetlerinde Kusurları Aramak
Kettle’ın araştırması, Ladunca’ya, istismar edilebilir DoS koşullarına yol açan Web önbellek tutarsızlıklarını araması için ilham verdi. geçmişte 2 yıllar, Ladunca, blog gönderisindeki bireysel ödül miktarlarına göre, 70’den fazla güvenlik açığı buldu ve 26.000 dolardan fazla hata ödülü topladı. (Başka bir rapor Ladunca’nın yaklaşık 40.000 dolarlık çetelesini gösterdi hata ödülü ödüllerinin toplam miktarı olarak. Yorum için Ladunca’ya ulaşılamadı.)
Araştırmacı başlangıçta Varnish Web önbelleğe alma proxy’sinin belirli bir yapılandırmasında bir kusur keşfetti, ancak kısa süre sonra Cloudflare ve Fastly dahil olmak üzere bazı hizmetlerin büyük harfli bir ana bilgisayar başlık saldırısına karşı savunmasız olduğunu keşfetti: CDN’ler, talebi dikkate alarak önbellek dizini başlığını küçülttü. geçerliydi, ancak bazı büyük/küçük harfe duyarlı uygulamalar daha sonra önbelleğe alınan bir hata döndürdü.
Ladunca, blogunda “Bu, Cloudflare’ın önbellek anahtarına eklemeden önce ana bilgisayar başlığını küçük harfe çevirdiği, ancak her zaman istemci tarafından gönderildiği gibi iletildiği anlamına geliyordu” dedi. “Cloudflare’ın arkasındaki herhangi bir arka uç, büyük harfli bir ana bilgisayar başlığı gönderildiğinde farklı bir yanıtla yanıt verirse, önbelleğin zehirlenmesine izin verir.”
Ladunca’nın en son blogu, Apache Traffic Server, GitHub, GitLab, Cloudflare, Amazon’un S3 depolama kovaları ve Fastly ile önbellek zehirlenmesi sorunları içeriyor. Tüm sorunlar giderildi, dedi.
Şirketler DoS için Hata Ödüllerini Yeniden Düşünmeli
PortWigger’s Kettle, bu araştırma, bulut hizmeti sağlayıcılarının hata ödül araştırmalarında genellikle izin vermediği önbellek tabanlı DoS saldırılarının gelecekte kapsam dahilinde değerlendirilmesi gerektiğinin altını çiziyor. Hiçbir şirket bilgisayar korsanlarını sitesini veya hizmetini çökertebilecek yöntemlerle denemeye teşvik etmek istemezken, şirketlerin saldırganların hizmetlerini bozup bozamayacağını bilmek istemeleri gerektiğini savunuyor.
Kettle, “‘Hizmet reddi güvenlik açıklarına izin vermiyoruz. Bunlar için size ödeme yapmayacağız’ diyen birçok program var” diyor. “Bence bu değişmeye başlıyor. Eğer biz Google’sak ve birileri ana sayfamızı kapatabilirse, bu büyük bir olay ve bunu bilmek istiyoruz.”
Kettle, ileride, muhtemelen daha fazla şirketin DoS saldırılarını – özellikle tekli isteklerden ve istismar mimarilerinden kaynaklananlar – penetrasyon testleri ve hata ödülleri için “kapsam dahilinde” olarak göreceğini göreceğiz, diyor Kettle.
“Çoğu hata ödülü politikası, DoS saldırılarını cesaretlendiren metinlere sahiptir. Ancak, yakından bakarsanız, bazılarının DoS güvenlik açıklarını bildirmeyi yasaklamak yerine, aslında DoS saldırılarını başlatmayı yasakladığını göreceksiniz” dedi. sorumlu araştırma üzerine bir 2019 blog yazısı. “Web önbelleği zehirlenmesi, genellikle bir saldırı başlatmadan bir kavram kanıtı yapmak mümkün olduğu için nadir bir özelliğe sahiptir.”
