Новый способ отравления кэша позволяет атаковать защищенные CDN сайты

Специалисты в области кибербезопасности Хоай Вьет Нгуен (Hoai Viet Nguyen), Луиджи Ло Лаконо (Luigi Lo Iacono) и Ханс Федеррат (Hannes Federrath) представили новую атаку cache poisoning (отравление кэша) на системы кэширования. Атака Cache Poisoned Denial of Service (CPDoS) позволяет заставить атакуемый сайт вместо легитимного контента отображать для большинства пользователей страницу с ошибкой.

Проблема затрагивает системы кэширования наподобие Varnish, а также популярные сети доставки контента (CDN), в частности Amazon CloudFront, Cloudflare, Fastly, Akamai и CDN77. Исследователи осуществили три атаки на различные комбинации систем кэширования и реализации HTTP, и самым уязвимым к CPDoS оказался сервис Amazon CloudFront CDN.

Суть атаки заключается в том, чтобы заставить промежуточные серверы CDN кэшировать возвращенные исходным сервером web-ресурсы или страницы с ответами об ошибках. CPDoS позволяет злоумышленнику сделать сайт или ресурс недоступным путем отправки одного лишь HTTP-запроса с особым заголовком.

Как пояснили исследователи, атакующий может сгенерировать для кэшируемого ресурса HTTP-запрос с неправильными полями, которые игнорируются системой кэширования, но вызывают ошибку во время обработки исходным сервером.

Исследователи сообщили о проблеме всем затронутым ею производителям в феврале нынешнего года. Команда Amazon Web Services (AWS) подтвердила наличие уязвимостей в CloudFront и исправила их путем блокировки кэширования страниц с ошибками 400 Bad Request по умолчанию. Компания Microsoft также подтвердила наличие и исправила уязвимость (CVE-2019-0941) в рамках июньского «вторника исправлений».

Разработчики Play Framework исправили проблему, ограничив влияние заголовка X-HTTP-Method-Override в версиях Play Framework 1.5.3 и 1.4.6. Остальные затронутые проблемой вендоры, в том числе Flask, также были уведомлены исследователями, однако не предоставили никакого ответа.