Ataques RangeAmp podem derrubar sites e servidores CDN

Ataques RangeAmp podem derrubar sites e servidores CDN. Doze de treze provedores de CDN disseram que corrigiram ou planejavam solucionar o problema.

Segundo o site ZDNet, uma equipe de acadêmicos chineses encontrou uma nova maneira de abusar de pacotes HTTP para ampliar o tráfego da web e derrubar sites e redes de entrega de conteúdo (CDNs).

Chamada RangeAmp, essa nova técnica de negação de serviço (DoS) explora implementações incorretas do atributo “Solicitações de intervalo” HTTP.

As solicitações de intervalo HTTP fazem parte do padrão HTTP e permitem que os clientes (geralmente navegadores) solicitem apenas uma parte específica (intervalo) de um arquivo de um servidor. O recurso foi criado para pausar e retomar o tráfego em situações controladas (ações de pausa / retomada) ou não controladas (congestionamento ou desconexão da rede).

padrão HTTP Range Requests está em discussão na Internet Engineering Task Force (IETF) há mais de meia década, mas, devido à sua utilidade, já foi implementado por navegadores, servidores e CDNs.

Agora, uma equipe de acadêmicos chineses diz que os invasores podem usar solicitações de intervalo HTTP malformadas para amplificar como os servidores da Web e sistemas CDN reagem quando precisam lidar com uma operação de solicitação de intervalo.

A equipe afirma que existem dois ataques RangeAmp diferentes.

O primeiro é chamado de ataque RangeAmp Small Byte Range (SBR). Nesse caso [veja (a)  na imagem abaixo], o invasor envia uma solicitação de intervalo HTTP malformada ao provedor de CDN, o que amplia o tráfego em direção ao servidor de destino, causando o travamento do site de destino.

O segundo é chamado de ataque RangeAmp Overlapping Byte Ranges (OBR). Nesse caso [veja (b) na imagem abaixo], o invasor envia uma solicitação de intervalo HTTP malformada a um provedor de CDN e, no caso, o tráfego é canalizado por outros servidores CDN, o tráfego é amplificado dentro das redes CDN, causando um crash Servidores CDN e tornando inacessíveis as CDNs e muitos outros sites de destino.

Imagem: Weizhong et al.

Os acadêmicos disseram que testaram os ataques RangeAmp contra 13 fornecedores de CDN e descobriram que todos eram vulneráveis ​​ao ataque RangeAmp SBR, e seis também eram vulneráveis ​​à variante OBR quando usados ​​em determinadas combinações.

Os pesquisadores disseram que os ataques eram muito perigosos e exigiam um mínimo de recursos para serem realizados. Dos dois, os ataques RangeAmp SBR poderiam ampliar o tráfego ao máximo.

A equipe de pesquisa descobriu que os invasores poderiam usar um ataque RangeAmp SBR para aumentar o tráfego de 724 a 43.330 vezes o tráfego original.

Veja também:

Sobre mindsecblog 1765 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

1 Trackback / Pingback

  1. O que é Computação Confidencial ? Confidential Computing Consortium

Deixe sua opinião!