Los ataques de RangeAmp pueden eliminar sitios internet y servidores CDN


traffic-charts.jpg

Imagen vía Luke Chesser.

Un equipo de académicos chinos ha encontrado una nueva forma de abusar de los paquetes HTTP para amplificar el tráfico internet y reducir los sitios web y las redes de entrega de contenido (CDN).

Denominada RangeAmp, esta nueva técnica de denegación de servicio (DoS) explota implementaciones incorrectas del atributo HTTP «Solicitudes de rango».

Las solicitudes de rango HTTP son parte del estándar HTTP y permiten a los clientes (generalmente navegadores) solicitar solo una porción específica (rango) de un archivo de un servidor. La función se creó para pausar y reanudar el tráfico en situaciones controladas (acciones de pausa / reanudación) o no controladas (congestión o desconexiones de la pink).

los Estándar de solicitudes de rango HTTP ha estado en discusión en Web Engineering Task Force (IETF) durante más de media década, pero, debido a su utilidad, ya ha sido implementado por navegadores, servidores y CDN.

Dos ataques RangeAmp descubiertos

Ahora, un equipo de académicos chinos dice que los atacantes pueden usar solicitudes de rango HTTP malformadas para amplificar la forma en que los servidores world wide web y los sistemas CDN reaccionan cuando tienen que lidiar con una operación de solicitud de rango.

El equipo dice que existen dos ataques RangeAmp diferentes.

El primero se llama un ataque RangeAmp Small Byte Selection (SBR). En este caso (ver (a) en la imagen a continuación), el atacante envía una solicitud de rango HTTP con formato incorrecto al proveedor de CDN, que amplifica el tráfico hacia el servidor de destino, y finalmente bloquea el sitio objetivo.

El segundo se llama ataque RangeAmp Overlapping Byte Ranges (OBR). En este caso (ver b) en la imagen a continuación), el atacante envía una solicitud de rango HTTP con formato incorrecto a un proveedor de CDN, y en el caso, el tráfico se canaliza a través de otros servidores de CDN, el tráfico se amplifica dentro de las redes de CDN y se bloquea Servidores CDN y haciendo que tanto los CDN como muchos otros sitios de destino sean inaccesibles.

rangeamp-attack.png "src =" https://zdnet3.cbsistatic.com/hub/i/2020/05/25/48120b45-3c88-4eee-ae16-e8d6f854954b/rangeamp-attack.png

Imagen: Weizhong et al.

Los académicos dijeron que probaron los ataques RangeAmp contra 13 proveedores de CDN y descubrieron que todos eran vulnerables al ataque RangeAmp SBR, y seis también eran vulnerables a la variante OBR cuando se usaban en ciertas combinaciones.

Los investigadores dijeron que los ataques eran muy peligrosos y requerían un mínimo de recursos para llevar a cabo. De los dos, los ataques RangeAmp SBR podrían amplificar más el tráfico.

El equipo de investigación descubrió que los atacantes podían usar un ataque RangeAmp SBR para inflar el tráfico de 724 a 43.330 veces el tráfico authentic.

rangeamp-results-sbr.png "src =" https://zdnet2.cbsistatic.com/hub/i/2020/05/25/f4b8d101-b7b4-4a08-b473-a63070670ca0/rangeamp-results-sbr.png

Imagen: Weizhong et al.

Los ataques OBR RangeAmp fueron un poco más difíciles de llevar a cabo, ya que las seis CDN vulnerables necesitaban estar en configuraciones específicas (maestro-sustituto), pero cuando se cumplieron las condiciones, los investigadores dijeron que los ataques OBR también podrían usarse para inflar el tráfico dentro de una purple CDN con factores de amplificación de hasta casi 7,500 veces el tamaño del paquete inicial.

rangeamp-results-obr.png "src =" https://zdnet3.cbsistatic.com/hub/i/2020/05/25/1f4a4da2-9f87-4538-bad5-e95d01848821/rangeamp-results-obr.png

Imagen: Weizhong et al.

De los dos, los ataques OBR se consideraron más peligrosos, ya que los atacantes podían eliminar fragmentos enteros de la crimson de un proveedor de CDN, lo que reducía la conectividad de miles de sitios net a la vez.

Proveedores de CDN notificados hace siete meses

Los académicos dijeron que durante los últimos meses se han comunicado silenciosamente con los proveedores de CDN afectados y han revelado los detalles del ataque RangeAmp.

De los 13 proveedores de CDN, los investigadores dijeron que 12 respondieron positivamente y que implementaron o dijeron que planeaban implementar actualizaciones para su implementación de Solicitud de Rango HTTP.

La lista incluye Akamai, Alibaba Cloud, Azure, Cloudflare, CloudFront, CDNsun, CDN77, Fastly, G-Core Labs, Huawei Cloud, KeyCDN y Tencent Cloud.

«Desafortunadamente, aunque les enviamos correos electrónicos varias veces y tratamos de comunicarnos con sus servicios al cliente, StackPath no proporcionó ningún comentario», dijo el equipo de investigación.

«En typical, hemos hecho todo lo posible para informar de manera responsable las vulnerabilidades y proporcionar soluciones de mitigación. Los proveedores de CDN relacionados han tenido casi siete meses para implementar técnicas de mitigación antes de que se publicara este documento».

La respuesta de cada proveedor de CDN, junto con los detalles técnicos sobre los ataques RangeAmp, están disponibles en el documento del equipo de investigación, titulado «CDN contraproducente: ataques de amplificación basados ​​en solicitudes de rango HTTP», disponible para descargar en formato PDF desde aquí.

El trabajo se presentará en julio en el Conferencia virtual IEEE / IFIP DSN 2020, donde es uno de los tres trabajos nominados para el Premio al Mejor Papel.



Enlace a la noticia initial