Descubren un nuevo tipo de ataque de CPDoS
- Seguridad Inteligente
Dos académicos de la Universidad Técnica de Colonia (TH Koln) han revelado un nuevo tipo de ataque web que puede envenenar las redes de entrega de contenido (CDN) en el almacenamiento en caché y luego servir páginas de error en lugar de sitios web legítimos.
El nuevo ataque se ha denominado CPDoS (denegación de servicio envenenado por caché), tiene tres variantes y se ha considerado práctico en el mundo real (a diferencia de la mayoría de los otros ataques de caché web).
Los ataques CPDoS están dirigidos a dos componentes de la web moderna: (1) servidores web y (2) redes de entrega de contenido.
Los servidores web almacenan el sitio web original y su contenido, mientras que los CDN almacenan una copia en caché del sitio web que solo se actualiza en ciertos intervalos de tiempo.
A pesar de su papel simplista, los CDN son una parte crucial de la Internet moderna, ya que pueden aliviar la carga en los servidores web. En lugar de que un servidor web calcule la misma solicitud de usuario una y otra vez, un CDN puede proporcionar a algunos de los usuarios entrantes una copia del sitio web, hasta que el CDN se actualice con una nueva versión.
Las CDN se usan ampliamente. Cualquier ataque a un sistema CDN puede tener consecuencias devastadoras en la disponibilidad de un sitio web y, por lo tanto, su rentabilidad.
En este contexto, los CPDoS funcionan así:
Un atacante se conecta a un sitio web hasta que su solicitud es la que genera una nueva entrada de CDN
La solicitud del atacante contiene un encabezado HTTP malformado o de gran tamaño
El CDN permite que este encabezado pase al sitio legítimo, por lo que puede procesarse y generar una página web para que el CDN lo almacene en caché
El encabezado de gran tamaño provoca un error en el servidor web
El servidor genera una página de error (un error de "400 Solicitud incorrecta")
La página de error se almacena en caché en el CDN
Otros usuarios que acceden al sitio obtienen la página de error en lugar del sitio web real
El error almacenado en caché se propaga a otros nodos de la red de CDN, creando una interrupción falsa en un sitio legítimo
Según el equipo de investigación, existen tres variantes del ataque CPDoS, dependiendo de cómo los atacantes decidan estructurar el encabezado mal formado.
Durante la investigación sobre la practicidad de los ataques CPDoS, el equipo de TH Koln dijo que lograron llevar a cabo ataques generalizados de envenenamiento de caché contra un sitio web de prueba alojado en la red de varios proveedores de CDN.
Descubre la innovación
Para asegurar el éxito empresarial, ahora y a futuro, es imprescindible maximizar el retorno de la inversión existente en software, a la vez que innovar y adoptar nuevas tecnologías. Los retos que hay abordar para competir en un mundo de TI Híbrida incluyen DevOps, Seguridad, Gestión de riesgos y Análisis predictivo. Puedes obtener más información sobre cómo abordar estos retos e innovar en este enlace.