Descubren un nuevo tipo de ataque de CPDoS

  • Seguridad Inteligente

Dos académicos de la Universidad Técnica de Colonia (TH Koln) han revelado un nuevo tipo de ataque web que puede envenenar las redes de entrega de contenido (CDN) en el almacenamiento en caché y luego servir páginas de error en lugar de sitios web legítimos.

El nuevo ataque se ha denominado CPDoS (denegación de servicio envenenado por caché), tiene tres variantes y se ha considerado práctico en el mundo real (a diferencia de la mayoría de los otros ataques de caché web).

Los ataques CPDoS están dirigidos a dos componentes de la web moderna: (1) servidores web y (2) redes de entrega de contenido.

Los servidores web almacenan el sitio web original y su contenido, mientras que los CDN almacenan una copia en caché del sitio web que solo se actualiza en ciertos intervalos de tiempo.

A pesar de su papel simplista, los CDN son una parte crucial de la Internet moderna, ya que pueden aliviar la carga en los servidores web. En lugar de que un servidor web calcule la misma solicitud de usuario una y otra vez, un CDN puede proporcionar a algunos de los usuarios entrantes una copia del sitio web, hasta que el CDN se actualice con una nueva versión.

Las CDN se usan ampliamente. Cualquier ataque a un sistema CDN puede tener consecuencias devastadoras en la disponibilidad de un sitio web y, por lo tanto, su rentabilidad.

En este contexto, los CPDoS funcionan así:

Un atacante se conecta a un sitio web hasta que su solicitud es la que genera una nueva entrada de CDN

La solicitud del atacante contiene un encabezado HTTP malformado o de gran tamaño

El CDN permite que este encabezado pase al sitio legítimo, por lo que puede procesarse y generar una página web para que el CDN lo almacene en caché

El encabezado de gran tamaño provoca un error en el servidor web

El servidor genera una página de error (un error de "400 Solicitud incorrecta")

La página de error se almacena en caché en el CDN

Otros usuarios que acceden al sitio obtienen la página de error en lugar del sitio web real

El error almacenado en caché se propaga a otros nodos de la red de CDN, creando una interrupción falsa en un sitio legítimo

Según el equipo de investigación, existen tres variantes del ataque CPDoS, dependiendo de cómo los atacantes decidan estructurar el encabezado mal formado.

Durante la investigación sobre la practicidad de los ataques CPDoS, el equipo de TH Koln dijo que lograron llevar a cabo ataques generalizados de envenenamiento de caché contra un sitio web de prueba alojado en la red de varios proveedores de CDN.

Descubre la innovación

Para asegurar el éxito empresarial, ahora y a futuro, es imprescindible maximizar el retorno de la inversión existente en software, a la vez que innovar y adoptar nuevas tecnologías. Los retos que hay abordar para competir en un mundo de TI Híbrida incluyen DevOps, Seguridad, Gestión de riesgos y Análisis predictivo. Puedes obtener más información sobre cómo abordar estos retos e innovar en este enlace.

TAGS Seguridad, Ciberseguridad, Ciberataque

CONTENIDO RELACIONADO

CONTENIDO RECOMENDADO

OpenText Cybersecurity OpenText™ empodera a las organizaciones con innovaciones para combatir las amenazas sofisticadas
OpenText Core for Google Workspace OpenText™ Core Content CE 24.2 ofrece mejoras de integración y a nivel de experiencia
Opentext webinar Pick n Pay El viaje de DevOps de Pick n Pay para ofrecer software impulsado por IA
OpenText Mark Barrenechea OpenText™ completa la venta del negocio AMC a Rocket Software
Opentext procesamiento documentos El 63% de las organizaciones aumentará su inversión en procesamiento inteligente de documentos
ERP gestion empresarial pixabay OpenText™ facilita una integración personalizada de Dynamics 365 para flujos de trabajo EDI
Opentext appsec day Acérquese al futuro de la seguridad de aplicaciones de la mano de OpenText™
OpenText Cloud Editions 24 2 Los clientes amplían sus horizontes con OpenText™ Cloud Editions 24.2
Opentext Summit Madrid Ramses Gallego OpenText™ muestra su apuesta por la IA empresarial en OpenText Summit Madrid 2024