Um grupo de nove pesquisadores acadêmicos de três universidades chinesas e de uma dos EUA descobriu que existe um meio de abusar dos atributos de “range request” de HTTP, amplificando o tráfego a ponto de derrubar servidores de redes de entrega (na verdade distribuição) de conteúdo, as CDNs. A descrição do problema está no relatório de pesquisa de 12 páginas que o grupo irá apresentar na em julho na conferência virtual IEEE / IFIP DSN 2020, onde é um dos três já indicados para o prêmio Best Paper Award.
O trabalho foi feito com foco justamente nas CDNs, cujo objetivo é melhorar desempenho da rede e proteger de ataques de tráfego os sites que hospedam o conteúdo original. Já o mecanismo de ‘range request’ foi projetado, segundo o trabalho, principalmente para reduzir transmissões desnecessárias de rede. No entanto, os pesquisadores dizem ter descoberto “que as especificações não consideraram a os riscos de segurança que aparecem quando as CDNs atendem range requests”. Os detalhes mostrados pelo estudo representam, segundo eles, uma nova classe de ataques de amplificação de HTTP, os ataques de amplificação baseados em alcance (RangeAmp).
Veja isso
Só 2% dos ataques DDoS têm velocidade superior a 10 Gbps
Ataque de DDoS contra o Irã derruba 25% de sua Internet
Essa falha permite que os atacantes esgotem massivamente não apenas as larguras de banda dos servidores de origem existentes por trás das CDNs, mas também a largura de banda dos nós substitutos (os surrogates) da CDN: “Examinamos o ataque de RangeAmp em 13 CDNs conhecidos, para avaliar a viabilidade e impactos no mundo real. Os resultados de nossos experimentos mostram que todos essas CDNs são afetadas pelos ataques RangeAmp”. Os pesquisadores avisaram todas as CDNs estudadas e receberam de 12 a confirmação de que estão agora cientes do problema. Elas são as seguintes:
Akamai, Alibaba Cloud, Azure, Cloudflare, CloudFront, CDNsun, CDN77, Fastly, G-Core Labs, Huawei Cloud, KeyCDN e Tencent Cloud.
Os pesquisadores descreveram dois tipos de ataques RangeAmp. O primeiro é chamado de Small Byte Range (SBR): nesse caso, o atacante envia uma solicitação de range HTTP malformada ao provedor de CDN, o que amplia o tráfego em direção ao servidor de destino, causando o travamento do site de destino.
O segundo é chamado de ataque RangeAmp Overlapping Byte Ranges (OBR). Nesse caso, o atacante também envia uma solicitação de range HTTP malformada a um provedor de CDN e o tráfego é canalizado por outros servidores CDN; esse tráfego é amplificado dentro das redes CDN, causando um crash dos servidores CDN e tornando inacessíveis as redes CDNs e outros sites de destino inacessíveis.
Faça download do relatório na próxima página
CDN Backfired: Amplification Attacks Based on
HTTP Range Requests
Com agências internacionais
