Контакты
Подписка 2025
ITSEC 2025
ITSEC 2025: Информационная и кибербезопасность России. Форум для ИБ-специалистов, ИТ-директоров, разработчиков и поставщиков решений
Регистрируйтесь и участвуйте 14-15 октября!

Новый способ отравления кэша позволяет атаковать защищенные CDN сайты

24/10/19

CDN

Специалисты в области кибербезопасности Хоай Вьет Нгуен (Hoai Viet Nguyen), Луиджи Ло Лаконо (Luigi Lo Iacono) и Ханс Федеррат (Hannes Federrath) представили новую атаку cache poisoning (отравление кэша) на системы кэширования. Атака Cache Poisoned Denial of Service (CPDoS) позволяет заставить атакуемый сайт вместо легитимного контента отображать для большинства пользователей страницу с ошибкой.

Проблема затрагивает системы кэширования наподобие Varnish, а также популярные сети доставки контента (CDN), в частности Amazon CloudFront, Cloudflare, Fastly, Akamai и CDN77. Исследователи осуществили три атаки на различные комбинации систем кэширования и реализации HTTP, и самым уязвимым к CPDoS оказался сервис Amazon CloudFront CDN.

Суть атаки заключается в том, чтобы заставить промежуточные серверы CDN кэшировать возвращенные исходным сервером web-ресурсы или страницы с ответами об ошибках. CPDoS позволяет злоумышленнику сделать сайт или ресурс недоступным путем отправки одного лишь HTTP-запроса с особым заголовком.

Как пояснили исследователи, атакующий может сгенерировать для кэшируемого ресурса HTTP-запрос с неправильными полями, которые игнорируются системой кэширования, но вызывают ошибку во время обработки исходным сервером.

Исследователи сообщили о проблеме всем затронутым ею производителям в феврале нынешнего года. Команда Amazon Web Services (AWS) подтвердила наличие уязвимостей в CloudFront и исправила их путем блокировки кэширования страниц с ошибками 400 Bad Request по умолчанию. Компания Microsoft также подтвердила наличие и исправила уязвимость (CVE-2019-0941) в рамках июньского «вторника исправлений».

Разработчики Play Framework исправили проблему, ограничив влияние заголовка X-HTTP-Method-Override в версиях Play Framework 1.5.3 и 1.4.6. Остальные затронутые проблемой вендоры, в том числе Flask, также были уведомлены исследователями, однако не предоставили никакого ответа.

Темы:AmazonУгрозыCDN
КИИ
14 октября на Форуме ITSEC 2025: Защищенный удаленный доступ. Технологии безопасной дистанционной работы
Выступить на конференции →
Статьи по темеСтатьи по теме

Хотите сотрудничать?

Выберите вариант!

Печатное издание
Интернет-портал
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Доверенные решения для защиты российских ОС на базе Linux и миграции
Выступить 14 октября →

Еще темы...

More...