Líneas de conexión alrededor del globo terráqueo, fondo del tema de tecnología futurista con efecto de luz
Getty Illustrations or photos / iStockphoto
Casi dos años después de haberse documentado por primera vez, los ataques de engaño de caché internet siguen siendo un problema importante y aún afectan a muchos sitios world wide web populares.
Una nueva investigación académica publicada este mes revela que 25 de los sitios world-wide-web de Alexa Major 5,000 todavía están afectados por los ataques de Decepción de caché world-wide-web (WCD).
Si bien el número es pequeño, los académicos dicen que estos sitios world-wide-web tienen «poblaciones de usuarios sustanciales», lo que permite a los atacantes recuperar información individual del usuario de la cuenta de un usuario sin tener que autenticarse.
¿Qué es un ataque de engaño de caché web?
Los ataques de Net Cache Deception se revelaron por primera vez en febrero de 2017. Fueron descubierto por Omer Gil, investigador de seguridad y cazador de insectos.
Gil descubrió que muchos de los sitios website populares de la actualidad almacenan en caché las páginas que contienen información own de un usuario. Estas páginas en caché se almacenarían dentro de la purple de entrega de contenido (CDN) frontal de un sitio internet, fácilmente disponible para cualquier persona en Internet, sin pasar por los requisitos de inicio de sesión.
El contenido confidencial en caché incluía paneles de again-conclude, secciones de configuración, páginas con detalles financieros, and many others., páginas generalmente exentas de los procedimientos de almacenamiento en caché de un sitio web.
El truco, dijo Gil, era que un atacante convenciera a un usuario de acceder a una URL bobobytrapped que tenía la siguiente estructura: (Legitimate_DASHBOARD_URL) / (NON-EXISTENT_FILE)
Un ejemplo sería:
https://www.paypal.com/myaccount/household/blablablabla.css
Si el usuario hizo clic y accedió a uno de estos enlaces con trampas explosivas, el CDN de un sitio world-wide-web almacenaría en caché el tablero personal del usuario, junto con todos los datos encontrados en el inside, y lo almacenaría en el servidor CDN público y frontal del sitio web.
Un atacante solo tendría que acceder a la URL bobobytrapped initial y recuperar el contenido del panel de ese usuario en individual.
Imagen: Mirheidari et al.
(incrustar) https://www.youtube.com/watch?v=e_jYtALsqFs (/ incrustar)
Gil dijo que el ataque no estaba restringido a archivos relacionados con la internet como JS y CSS, y que los atacantes podían crear URLs atrapadas con más de 40 extensiones de archivo diferentes.
El uso de cualquiera de las extensiones de archivo para crear una URL inexistente engañó al CDN de un sitio world wide web para almacenar en caché una página con información confidencial, incluso si el enlace al que apuntaban no existía, o la página estaba en una lista negra específica.
En 2017, Gil dijo que probó solo alrededor de 30 sitios world-wide-web populares y descubrió que solo tres eran vulnerables a los ataques de WCD, nombrando solo PayPal.
En una entrevista con este reportero en ese momento, Gil dijo que solo probó sitios web que tenían un programa público de recompensas por errores y dijo que creía que el problema estaba mucho más extendido que su investigación inicial y muy limitada.
Probar más sitios para ataques WCD
En un artículo académico publicado este mes, un equipo de seis investigadores amplió el trabajo initial de Gil a los 5.000 sitios website más populares en Online, según el rating de Alexa.
No solo probaron los ataques WCD que dependían de la carga de archivos inexistentes, sino que también exploraron varias otras formas de URL malformadas, expandiendo la superficie de ataque WCD con nuevas variaciones de ataque. Las variaciones de ataque de WCD que probó el equipo de investigación se enumeran en la imagen a continuación.
Imagen: Mirheidari et. Alabama
El equipo de investigación realizó su experimento dos veces, con 14 meses de diferencia. Para la primera ejecución, seleccionaron 295 sitios net de la lista Alexa Leading 5,000, sitios net que tenían un back again-stop que almacenaba datos confidenciales. Para la segunda ejecución, ampliaron la lista a 340 sitios net.
Después de ambos experimentos, los investigadores dijeron que 25 sitios de alto tráfico con «poblaciones de usuarios considerables» eran vulnerables a los ataques de WCD.
«Nuestro segundo experimento mostró que en los catorce meses entre nuestras dos mediciones, solo 12 de los 16 sitios pudieron mitigar sus vulnerabilidades de WCD, mientras que el número complete de vulnerabilidades aumentó a 25», dijeron los investigadores.
Imagen: Mirheidari et. Alabama
En la mayoría de los casos, los sitios website eran vulnerables debido a las reglas de almacenamiento en caché de CDN mal configuradas, dijeron los investigadores. Sin embargo, el equipo de investigación no culpó a los proveedores de CDN, sino a los operadores de sitios website.
«Una razón para esta lenta adopción de las mitigaciones necesarias podría ser la falta de conciencia del usuario. Sin embargo, la atención que WCD obtuvo de los medios de comunicación de seguridad, las comunidades de investigación, los comunicados de prensa oficiales de los proveedores de caché web e incluso los medios de comunicación convencionales también sugieren que puede haber otros factores contribuyentes.»
Estos factores incluyen la falta de herramientas gratuitas u oficiales para verificar si la configuración de CDN de un sitio internet es susceptible a los ataques y la gran cantidad de esfuerzo necesario para probar las configuraciones de CDN.
«La evidencia empírica que presentamos (…) sugiere que configurar cachés web correctamente no es una tarea trivial», dijo el equipo de investigación. «Además, la complejidad de detectar y corregir una vulnerabilidad WCD es desproporcionadamente alta en comparación con el lanzamiento de un ataque».
«No creemos que estas observaciones impliquen a los proveedores de CDN de ninguna manera, sino que enfatizamos que las CDN no están destinadas a ser soluciones plug & engage in para aplicaciones comerciales que manejan datos sensibles», dijeron los investigadores. «Todos los CDN proporcionan mecanismos específicos para el almacenamiento en caché y la manipulación del tráfico, y los propietarios de sitios deben configurar y probar cuidadosamente estos servicios para satisfacer sus necesidades».
En common, los operadores de sitios web no parecen ser conscientes del espectro completo de los ataques WCD, o no saben cómo investigar y mitigar estos ataques por completo.
Los lectores de ZDNet que deseen obtener más información pueden consultar el informe técnico de los investigadores, titulado «Caché y confusión: engaño de caché world-wide-web en la naturaleza, «que se presentará en la conferencia de seguridad de Usenix el próximo año, en agosto de 2020.
