Nuevos ataques de contrabando de solicitudes HTTP dirigidos a navegadores internet



BLACK HAT United states – LAS VEGAS – Un investigador de seguridad que demostró previamente cómo los atacantes pueden abusar de las debilidades en la forma en que los sitios website manejan las solicitudes HTTP advirtió que los mismos problemas pueden usarse para dañar los ataques basados ​​en navegador contra los usuarios.

James Kettle, director de PortSwigger, describió su investigación como arrojando nueva luz sobre los llamados ataques de desincronización que explotan los desacuerdos sobre cómo los servidores again-conclude y entrance-finish de un sitio website interpretan las solicitudes HTTP. Anteriormente, en Black Hat United states of america 2019, Kettle había demostrado cómo los atacantes podían desencadenar estos desacuerdos, por ejemplo, sobre la longitud del mensaje, para enrutar las solicitudes HTTP a un componente de back again-conclude de su elección, robar credenciales e invocar respuestas inesperadas de una aplicación. y otras acciones maliciosas. Kettle también ha demostrado anteriormente cómo los errores de implementación de HTTP/2 pueden poner en riesgo a los sitios web.

La nueva investigación de Kettle se enfoca en cómo los actores de amenazas pueden explotar los mismos problemas de manejo inadecuado de solicitudes HTTP para atacar también a los usuarios del sitio world wide web y robar credenciales, instalar puertas traseras y comprometer sus sistemas de otras maneras. Kettle dijo que había identificado anomalías en el manejo de HTTP que permitieron tales ataques de desincronización del lado del cliente en sitios como amazon.com, aquellos que usan AWS Software Load Balancer, Cisco ASA WebVPN, Akamai, servidores Varnish Cache y Apache HTTP Server 2.4.52 y anteriores. .

La principal diferencia entre los ataques de desincronización del lado del servidor y la desincronización del lado del cliente es que el primero requiere sistemas controlados por el atacante con un entrance-end de proxy inverso y solicitudes al menos parcialmente mal formadas, dijo Kettle en una conversación con Dim Looking at después de su presentación. Un ataque impulsado por el navegador tiene lugar dentro del navegador web de la víctima, utilizando solicitudes legítimas, dijo. Kettle mostró una prueba de concepto en la que pudo almacenar información como tokens de autenticación de usuarios aleatorios en Amazon.com en su lista de compras como un ejemplo de lo que podría hacer un atacante. Kettle descubrió que podría haber logrado que cada víctima infectada en el sitio de Amazon relanzara el ataque a otros.

«Esto habría lanzado un gusano de sincronización, un ataque autorreplicante que explota a las víctimas para infectar a otros sin interacción del usuario, explotando rápidamente a todos los usuarios activos en Amazon», dijo Kettle. Desde entonces, Amazon ha solucionado el problema.

Cisco abrió un CVE para la vulnerabilidad (CVE-2022-20713) después de que Kettle informara a la empresa al respecto y describiera el problema como que permitía que un atacante remoto no autenticado realizara ataques basados ​​en el navegador a los usuarios del sitio internet. «Un atacante podría explotar esta vulnerabilidad al convencer a un usuario objetivo de visitar un sitio web que puede pasar solicitudes maliciosas a un dispositivo ASA que tiene habilitada la función Clientless SSL VPN», señaló la compañía. «Una explotación exitosa podría permitir que el atacante realice ataques basados ​​en el navegador, incluidos ataques de secuencias de comandos entre sitios, contra el usuario objetivo».

Apache identificó su vulnerabilidad de contrabando de solicitudes HTTP (CVE-2022-22720) como vinculado a una falla «para cerrar la conexión entrante cuando se encuentran errores al descartar el cuerpo de la solicitud». Varnish describió su vulnerabilidad (CVE-2022-23959) como permitir a los atacantes inyectar respuestas falsas en las conexiones de los clientes.

en un documento técnico publicado hoyKettle dijo que había dos escenarios separados donde las anomalías en el manejo de HTTP podrían tener implicaciones de seguridad,

Una fue la validación de la primera solicitud, donde los servidores front-close que manejan las solicitudes HTTP usan el encabezado Host para identificar a qué componente de back-close enrutar cada solicitud. Estos servidores proxy a menudo tienen una lista blanca de hosts a los que las personas pueden acceder. Lo que Kettle descubrió fue que algunos servidores entrance-finish o proxy solo usan la lista blanca para la primera solicitud enviada a través de una conexión y no para las solicitudes posteriores enviadas a través de la misma conexión. Por lo tanto, los atacantes pueden abusar de esto para obtener acceso a un componente objetivo enviando primero una solicitud a un destino permitido y luego siguiendo con una solicitud a su destino objetivo.

Otro problema estrechamente relacionado pero mucho más frecuente que encontró Kettle surgió del enrutamiento de primera solicitud. Con el enrutamiento de la primera solicitud, el servidor front-end o proxy mira el encabezado del host de la solicitud HTTP para decidir a dónde enrutar la solicitud y luego enruta todas las solicitudes posteriores del cliente al mismo backend. En entornos donde el encabezado Host se maneja de manera insegura, esto presenta a los atacantes la oportunidad de apuntar a cualquier componente de back again-conclusion para llevar a cabo una variedad de ataques, dijo Kettle.

La mejor manera para que los sitios world-wide-web mitiguen los ataques de desincronización del lado del cliente es usar HTTP/2 de extremo a extremo, dijo Kettle. Por lo normal, no es una buena idea tener un front-conclude que admita HTTP/2 y un again-close que sea HTTP/1.1. «Si su empresa enruta el tráfico de los empleados a través de un proxy de reenvío, asegúrese de que HTTP/2 ascendente sea compatible y esté habilitado. Tenga en cuenta que el uso de proxies de reenvío también presenta una variedad de riesgos adicionales de contrabando de solicitudes que van más allá del alcance de este documento», aconsejó Kettle. .



Enlace a la noticia first