RangeAmp: Nové spôsoby, ako zosilniť DoS útoky a odoprieť dostupnosť webstránok

Výskumníci pre ochranu pred útokmi iniciovali revíziu štandardu RFC7233.
RangeAmp: Nové spôsoby, ako zosilniť DoS útoky a odoprieť dostupnosť webstránok

Čínski výskumníci objavili dva nové spôsoby odoprenia služieb pomocou tzv. zosilnených Denial of Service útokov. Oba využívajú zraniteľnosť nesprávnej implementácie mechanizmu pre zadávanie požiadaviek na rozsah HTTP správ do sietí pre doručovanie obsahu (Content Delivery Network). Za následok môžu mať pád webstránok alebo CDN sietí. 

Takzvané HTTP Range Requests slúžia na vylepšenie kvality prenosu dát medzi serverom a klientom. Vďaka nim si klient môže napríklad v prípade prerušenia sťahovania veľkých súborov vyžiadať len tú časť, ktorú ešte nestiahol. Klient tak nemusí sťahovať celý súbor odznova, čím sa zníži zbytočný prenos dát na sieti.

Chybné nastavenie Range Requests má však za následok preťaženie siete pre doručovanie obsahu týmito požiadavkami. 

Akademici upozornili na dva typy útokov, ktoré nazvali RangeAmp. V obidvoch prípadoch vyšle útočník chybný HTTP Range Request do CDN siete poskytovateľa služby. 

V prípade Small Byte Range (SBR) útoku útočník skonštruuje požiadavku tak, aby sieť rozoslala cieľovému serveru množstvo požiadaviek na pár bajtov veľkého súboru. Zvýši tak prenos dát smerom ku zdrojovému serveru a cieľová webstránka padne. 

Pri Overlapping Byte Ranges (OBR) útoku však prúdia požiadavky do viacerých CDN serverov, čím sa zvýši prenos dát medzi centrálnymi a okrajovými uzlami siete. Útočník takto nakoniec ochromí dostupnosť siete aj webserverov.  

a) SBR útok, b) OBR útok. Zdroj: Weizhong et al.

Obidva spôsoby považujú výskumníci za bezpečnostné hrozby. SBR útok totiž umožňuje zvýšiť prenos dát v sieti 724 až 43 330-násobne oproti bežnej prevádzke, pričom OBR útok „len” 7 500. Napriek tomu, podľa portálu ZDNet predstavuje práve OBR útok väčšie nebezpečenstvo, keďže dokáže spôsobiť pád celých častí siete poskytovateľa. 

Výskumný tím upozornil trinásť najväčších poskytovateľov CDN sietí, medzi nimi Alibaba Cloud, Azure, Cloudflare alebo Huawei Cloud, na zraniteľnosť mesiace pred uverejnením štúdie. 

„Poskytli sme im riešenia na odstránenie zistených hrozieb. Väčšina poskytovateľov tieto zraniteľnosti rýchlo potvrdila a tvrdila, že ich odstráni čo najskôr.“

Protiopatrenia odporúčajú zamerať sa na posilnenie ochrany serverov pred DoS útokmi všeobecne a správne zaobchádzanie s hlavičkou Range. Kameňom úrazu je však stále nejasná formulácia špecifikácií a nedostatočné bezpečnostné aspekty štandardu RFC7233, ktoré RangeAmp útoky umožňujú. Výskumníci preto iniciovali jeho revíziu. 

(AP + VK)