BLACK HAT USA – LAS VEGAS – Daha önce saldırganların web sitelerinin HTTP isteklerini işleme biçimindeki zayıflıkları nasıl kötüye kullanabileceklerini gösteren bir güvenlik araştırmacısı, aynı sorunların kullanıcılara yönelik tarayıcı tabanlı saldırılara zarar vermek için kullanılabileceği konusunda uyardı.
PortSwigger’ın direktörü James Kettle, araştırmasını, bir web sitesinin arka uç ve ön uç sunucularının HTTP isteklerini nasıl yorumladığı konusundaki anlaşmazlıklardan yararlanan sözde senkronizasyon saldırılarına yeni bir ışık tuttuğunu söyledi. Daha önce, Black Hat USA 2019’da Kettle, saldırganların HTTP isteklerini kendi seçtikleri bir arka uç bileşenine yönlendirmek, kimlik bilgilerini çalmak ve bir uygulamadan beklenmeyen yanıtlar almak için örneğin mesaj uzunluğu gibi konularda bu anlaşmazlıkları nasıl tetikleyebileceğini gösterdi. ve diğer kötü niyetli eylemler. Kettle ayrıca daha önce HTTP/2 uygulama hatalarının web sitelerini nasıl risk altına sokabileceğini göstermişti.
Kettle’ın yeni araştırması, tehdit aktörlerinin web sitesi kullanıcılarına saldırmak ve kimlik bilgilerini çalmak, arka kapılar yüklemek ve sistemlerini başka yollarla tehlikeye atmak için aynı uygunsuz HTTP istek işleme sorunlarından nasıl yararlanabileceğine odaklanıyor. Kettle, Amazon.com, AWS Application Load Balancer, Cisco ASA WebVPN, Akamai, Varnish Cache sunucuları ve Apache HTTP Sunucusu 2.4.52 kullanan sitelerde bu tür istemci tarafı eşzamansızlaştırma saldırılarını etkinleştiren HTTP işleme anormalliklerini belirlediğini söyledi. daha erken.
Sunucu tarafı desync saldırıları ile istemci tarafı desync arasındaki temel fark, birincisinin ters proxy ön ucu ve en azından kısmen hatalı biçimlendirilmiş isteklere sahip saldırgan kontrollü sistemler gerektirmesidir, dedi Kettle, sunumunun ardından Dark Reading ile yaptığı konuşmada. Mağdurun Web tarayıcısında, meşru istekler kullanılarak tarayıcı destekli bir saldırı gerçekleştiğini söyledi. Kettle, bir saldırganın neler yapabileceğine örnek olarak, Amazon’daki rastgele kullanıcıların kimlik doğrulama jetonları gibi bilgileri alışveriş listesinde depolayabildiği bir kavram kanıtı gösterdi. Kettle, saldırıyı başkalarına yeniden başlatmak için her virüslü kurbanı Amazon’un sitesinde yakalamış olabileceğini keşfetti.
Kettle, “Bu, Amazon’daki her aktif kullanıcıyı hızla sömüren, kullanıcı etkileşimi olmadan diğerlerini enfekte etmek için kurbanları sömüren, kendi kendini kopyalayan bir saldırı olan bir desync solucanı serbest bırakacaktı.” Dedi. Amazon o zamandan beri sorunu çözdü.
Cisco, güvenlik açığı için bir CVE açtı (CVE-2022-20713) Kettle şirkete bu konuda bilgi verdikten ve sorunu, kimliği doğrulanmamış, uzak bir saldırganın web sitesi kullanıcılarına tarayıcı tabanlı saldırılar gerçekleştirmesine izin vermek olarak tanımladıktan sonra. Şirket, “Bir saldırgan, hedeflenen bir kullanıcıyı, İstemcisiz SSL VPN özelliği etkin olan bir ASA cihazına kötü amaçlı istekleri iletebilecek bir web sitesini ziyaret etmeye ikna ederek bu güvenlik açığından yararlanabilir” dedi. “Başarılı bir açıktan yararlanma, saldırganın hedeflenen kullanıcıya karşı siteler arası komut dosyası çalıştırma saldırıları da dahil olmak üzere tarayıcı tabanlı saldırılar gerçekleştirmesine izin verebilir.”
Apache, HTTP istek kaçakçılığı güvenlik açığını belirledi (CVE-2022-22720) “istek gövdesi atılırken hatalarla karşılaşıldığında gelen bağlantıyı kapatma” başarısızlığına bağlı olarak. Vernik, güvenlik açığını açıkladı (CVE-2022-23959) saldırganların istemci bağlantılarına sahte yanıtlar enjekte etmesine izin vererek.
İçinde bugün yayınlanan teknik incelemeKettle, HTTP işleme anormalliklerinin güvenlik etkileri olabileceği iki ayrı senaryo olduğunu söyledi,
Birincisi, HTTP isteklerini işleyen ön uç sunucuların, her bir isteğin hangi arka uç bileşenine yönlendirileceğini belirlemek için Ana Bilgisayar başlığını kullandığı ilk istek doğrulamasıydı. Bu proxy sunucuları genellikle insanların erişmesine izin verilen bir beyaz listeye sahiptir. Kettle’ın keşfettiği şey, bazı ön uç veya proxy sunucularının, aynı bağlantı üzerinden gönderilen sonraki istekler için değil, yalnızca bir bağlantı üzerinden gönderilen ilk istek için beyaz listeyi kullandığıydı. Bu nedenle, saldırganlar önce izin verilen bir hedefe bir istek göndererek ve ardından hedef hedeflerine bir istek göndererek bir hedef bileşene erişim elde etmek için bunu kötüye kullanabilirler.
Kettle’ın karşılaştığı, yakından ilişkili ancak çok daha sık karşılaşılan bir diğer sorun, ilk istek yönlendirmesinden kaynaklanıyordu. İlk istek yönlendirmesiyle, ön uç veya proxy sunucusu, isteğin nereye yönlendirileceğine karar vermek için HTTP isteğinin Ana Bilgisayar başlığına bakar ve ardından istemciden gelen tüm sonraki istekleri aynı arka uca yönlendirir. Kettle, Host başlığının güvenli olmayan bir şekilde işlendiği ortamlarda, bunun saldırganlara çeşitli saldırılar gerçekleştirmek için herhangi bir arka uç bileşenini hedefleme fırsatı sunduğunu söyledi.
Kettle, web sitelerinin istemci tarafı desync saldırılarını azaltmasının en iyi yolunun HTTP/2 uçtan uca kullanmak olduğunu söyledi. HTTP/2’yi destekleyen bir ön uç ve HTTP/1.1 olan bir arka uç olması genellikle iyi bir fikir değildir. Kettle, “Şirketiniz çalışanın trafiğini bir ileri proxy üzerinden yönlendiriyorsa, yukarı akış HTTP/2’nin desteklendiğinden ve etkinleştirildiğinden emin olun” diye tavsiyede bulundu. “İleriye dönük vekillerin kullanımının ayrıca bu belgenin kapsamı dışında bir dizi ekstra talep kaçakçılığı riski getirdiğini lütfen unutmayın.”
