Den nya typen av attack kallas CPDoS (Cache-Poisoned Denial-of-Service) och har upptäckts av forskare vid Technical University of Cologne (TH Koln) i Köln i Tyskland. Attacken är ganska enkel, men anses fullt realistisk i jämförelse med många andra så kallade web-cache-attacker.

Content Delivery Netwoks (CDN), som Akamai, Cloudflare, CloudFront, Fastly med flera buffrar webbsidor och sajter så att den egentliga webbservern avlastas och innehållet kan levereras till mottagarna från leveransservrar nätverksmässigt närmare slutanvändaren. CDN:et uppdaterar sin buffer med jämna mellanrum baserat på förfrågningar från användarna och de uppdateringar av innehållet som webbservrarna genererar.

Tre olika varianter

De CPDoS-attacker forskarna upptäckt kommer i tre varianter beroende på hur html-huvudet är kodat. Generellt går attackerna till som följer:

  • En angripare skapar sessioner mot en webbserver tills det är angriparens förfrågning som genererar en uppdatering av innehållet i CDN:et.
  • Angriparens förfrågning innehåller ett felaktigt och överdimensionera http-huvud (header).
  • CDN:et släpper igenom denna header till den riktiga webbservern så att den kan generera ett nytt innehåll som CDN:et kan buffra.
  • Den överdimensionerade headern gör att webbservern kraschar, och svarar med en 400 Bad Request-felsida.
  • Felsidan buffras i CDN:et.
  • Andra användare som efterfrågar innehåll på sajten serveras istället felsidan.
  • CDN:ets buffrade sida (felsidan) sprider sig i nätverket och påverkar allt fler användare, vilket för med sig att sajten verkar nere, trots att den inte alls är det.

Enligt forskarna kan attacken genomföras med tre varianter av html-headern:

  • HTTP Header Oversize (HHO)
  • HTTP Meta Character (HMC)
  • HTTP Method Override (HMO)

Detaljerna om dessa och fördjupad information om CPDoS-attacker finns på denna sajt eller i forskarnas vitpapper.

Enligt forskarna vid TH Koln har de genomfört praktiska försöks-attacker med hjälp av en testsajt och flera av de kända CDN-nätverken. Attacker av denna typ av orsaka upplevd nedtid för sajter och orsaka ekonomiska förluster.

Den goda nyheten är att det i de flesta fall är enkelt att förhindra. Dessutom är det inte alla webbservrar och CDN:er som är mottagliga för attacken. Det enklaste sättet är att sajtägare konfigurerar sina CDN-inställningar så att CDN:et inte buffrar felsidan. Många CDN har inställningar för detta i sina användargränssnitt. De som inte kan ställa in detta i CDN:et kan istället lägga in "Cache-Control: no-store” i http-headern för varje felsida.

forskarnas sajt finns en tabell som visar vilka webbservrar och CDN:er som är utsatta.

Läs också:
Explosionsartad ökning av attacker mot uppkopplade prylar
Hälften av datorerna på europeisk flygplats infekterade med kryptogrävare