0
0
Uma equipe de acadêmicos chineses encontrou uma nova maneira de abusar de pacotes HTTP para amplificar o tráfego da Web e derrubar sites e redes de entrega de conteúdo (CDNs).
Chamada RangeAmp, esta nova técnica de Negação de Serviço (DoS) explora implementações incorretas do atributo HTTP “Range Requests”.
As solicitações de alcance HTTP fazem parte do padrão HTTP e permitem que os clientes (geralmente navegadores) solicitem apenas uma parte específica (intervalo) de um arquivo de um servidor. O recurso foi criado para pausar e retomar o tráfego em situações controladas (ações de pausa/currículo) ou descontroladas (congestionamento ou desconexões da rede).
O padrão HTTP Range Requests está em discussão na Força-Tarefa de Engenharia da Internet (IETF) há mais de meia década, mas, devido à sua utilidade, já foi implementado por navegadores, servidores e CDNs.
DOIS ATAQUES RANGEAMP DESCOBERTOS
Agora, uma equipe de acadêmicos chineses diz que os atacantes podem usar solicitações de alcance HTTP malformadas para amplificar como servidores web e sistemas CDN reagem quando têm que lidar com uma operação de solicitação de intervalo.
A equipe diz que existem dois ataques diferentes do RangeAmp.
O primeiro é chamado de ataque RangeAmp Small Byte Range (SBR). Neste caso [veja (a) na imagem abaixo], o invasor envia uma solicitação de intervalo HTTP malformada para o provedor CDN, que amplifica o tráfego em direção ao servidor de destino, eventualmente travando o site alvo.
O segundo é chamado de ataque RangeAmp Sobreposte Byte Ranges (OBR). Neste caso [veja b) na imagem abaixo], o invasor envia uma solicitação de intervalo HTTP malformada para um provedor de CDN, e no caso, o tráfego é funneled através de outros servidores CDN, o tráfego é amplificado dentro das redes CDN, travando servidores CDN e tornando tanto os CDNs quanto muitos outros sites de destino inacessíveis.
Os acadêmicos disseram que testaram os ataques do RangeAmp contra 13 provedores de CDN e descobriram que todos eram vulneráveis ao ataque RangeAmp SBR, e seis também eram vulneráveis à variante OBR quando usados em determinadas combinações.
Os pesquisadores disseram que os ataques eram muito perigosos e exigiam um mínimo de recursos para serem realizados. Dos dois, os ataques do RangeAmp SBR podem amplificar mais o tráfego.
A equipe de pesquisa descobriu que os atacantes poderiam usar um ataque RangeAmp SBR para inflar o tráfego de 724 a 43.330 vezes o tráfego original.
Os ataques do RangeAmp OBR foram um pouco mais difíceis de realizar, já que os seis CDNs vulneráveis precisavam estar em configurações específicas (master-substituta), mas quando as condições eram atendidas, os reserchers disseram que os ataques de OBR também poderiam ser usados para inflar o tráfego dentro de uma rede CDN com fatores de amplificação de até quase 7.500 vezes o tamanho inicial do pacote.
Dos dois, os ataques da OBR foram considerados mais perigosos, pois os atacantes poderiam derrubar partes inteiras da rede de um provedor de CDN, derrubando a conectividade de milhares de sites por vez.
FORNECEDORES DE CDN NOTIFICADOS HÁ SETE MESES
Os acadêmicos disseram que nos últimos meses eles têm contatado silenciosamente os provedores de CDN afetados e divulgado os detalhes do ataque do RangeAmp.
Dos 13 provedores de CDN, os pesquisadores disseram que 12 responderam positivamente e ou lançaram ou disseram que planejavam implementar atualizações para sua implementação do HTTP Range Request.
A lista inclui Akamai, Alibaba Cloud, Azure, Cloudflare, CloudFront, CDNsun, CDN77, Fastly, G-Core Labs, Huawei Cloud, KeyCDN e Tencent Cloud.
“Infelizmente, embora tenhamos enviado e-mails várias vezes e tentado entrar em contato com seus serviços ao cliente, o StackPath não forneceu nenhum feedback”, disse a equipe de pesquisa.
“Em geral, tentamos ao máximo relatar as vulnerabilidades de forma responsável e fornecer soluções de mitigação. Os fornecedores de CDN relacionados tiveram quase sete meses para implementar técnicas de mitigação antes da publicação deste artigo.”
A resposta de cada provedor de CDN, juntamente com detalhes técnicos sobre os ataques do RangeAmp, estão disponíveis no artigo da equipe de pesquisa, intitulado “CDN Backfired: Amplification Attacks Based on HTTP Range Requests”, disponível para download em formato PDF a partir daqui.
O trabalho será apresentado em julho na conferência virtual IEEE/IFIP DSN 2020,onde é um dos três trabalhos indicados ao Prêmio De Melhor Papel.
FONTE: ZDNET