Davranış, RFC uyumlu olmayan istekleri işleyen müşterilerden kaynaklandığı için kesin çözüm “önemsizdir”
Akamai’nin Amazon Web Services (AWS) S3 kaynaklarını alma yöntemindeki bir güvenlik açığı, saldırganların web sitelerine yönelik web önbelleği zehirleme saldırıları düzenlemesine olanak sağlayabilir.
Web önbelleği zehirlenmesi, kötü amaçlı istemcilerin içerik dağıtım ağlarını (CDN) veya web sunucularını kötü amaçlı içeriği önbelleğe almaya ve daha sonra aynı kaynağı talep eden diğer istemcilere sunmaya zorlamasını içerir.
Çift yanlış yapılandırma
Akamai, çeşitli HTTP isteklerini karşılık gelen S3 klasörüne eşleyebilir ve daha sonra almak üzere önbelleğe alabilir. güvenlik araştırmacısı Tarunkant Gupta Akamai sunucusunu kandırarak kötü amaçlı kovalardan dosyaları önbelleğe alabileceğini keşfetti.
“Birkaç ay önce, istismar edilemeyen bir AWS S3 hatalı yapılandırmasıyla karşılaştım ve bunun hala var olup olmadığını kontrol etmek için yeniden ziyaret ediyordum, ancak bu sefer tüm saldırı olasılıklarını keşfetmek istedim” dedi. günlük yudum. Farklı saldırı vektörlerini denedikten sonra Gupta, Akamai’nin önbellek sunucularında S3 hatasından yararlanmak için kullanılabilecek bir yanlış yapılandırmayla karşılaştı.
İLİŞKİLİ Akamai WAF, RCE’yi tetiklemek için Spring Boot aracılığıyla atlandı
Gupta’dan gelen teknik bir yazıya göre Akamai, “genel bir ‘yama'” oluşturmanın “meşru internet trafiği üzerinde büyük bir olumsuz etkisi olabileceğinden önemsiz olmadığını” söyledi. Bu arada Gupta, kullanıcıların Akamai düzeyinde Unicode karakterleri içeren başlıkları kabul etmeyerek kendilerini koruyabileceklerini söyledi.
Başlık komutlarını kurcalama
Saldırganın güvenlik açığından yararlanabilmesi için zararsız bir dosya için bir web isteği göndermesi, ancak başlık yönergelerini değiştirerek önüne onaltılık bir değer (örn. ) ve ardından kötü amaçlı S3 adresinin geldiği bir başlık eklemesi gerekir.
İstek bir önbellek isabetiyle sonuçlanırsa, Akamai sunucusu Unicode değerine sahip başlığa orijinal başlığa göre öncelik verir ve aynı yolu isteyen gelecekteki kullanıcılara sunmak için kötü amaçlı dosyayı önbelleğe alır.
“S3 yanlış yapılandırması nedeniyle, hedef kaynağa göre ilk başlığa öncelik veriyor ve Akamai’nin Unicode karakterinin dahil edilmesini yanlış ayrıştırması, başlığın ilk geçtiği yerde kötü niyetli bir ana bilgisayar olan S3 klasörlerine tam olarak istediğim şeyi iletmeme izin verdi.” Gupta açıkladı.
ölçekli saldırı
Saldırı, yalnızca iyi huylu ve kötü niyetli dosyalar aynı bölgede bulunan S3 kovalarında depolanırsa çalışır. Saldırgan, mevcut tüm bölgelerde S3 kovaları oluşturabilir ve kötü amaçlı dosyayı bunların hepsine yükleyebilir.
Bu durumda, hatadan yararlanmak, hangi kovanın çalıştığını görmek için hedef web kaynağına web önbelleği zehirleme saldırısını kaba kuvvetle uygulama meselesi olacaktır.
Gupta saldırıyı, genellikle önbelleğe alınmış bir dosya türü olan ve JavaScript kodu içerebilen bir SVG dosyasıyla test etti ve bu da onu özellikle tehlikeli hale getirdi. Ancak saldırı, sunucu tarafından önbelleğe alınan diğer herhangi bir dosya türüyle de çalışabilir.
Gupta ayrıca S3 klasörlerinde saklanan ve Akamai tarafından önbelleğe alınan hedefleri bulabilen bir çift Python betiği geliştirdi.
Gupta, “Bu sorundan yararlanmak çok kolay ve basit bir cURL kötü amaçlı bir önbellek oluşturabilir” dedi. “Gerekli ölçekte yararlanmak için bir otomasyon betiği oluşturuldu. Bu sorun, XSS, JavaScript enjeksiyonu, açık yeniden yönlendirme, DoS, kimlik sahtekarlığı vb. gibi çeşitli saldırı türlerine neden olabilir.”
RFC uyumsuzluğu
Akamai, Gupta’ya yapılandırma sorununun “belirli müşterilerin uygulamalarının doğru şekilde çalışması için RFC uyumlu olmayan istekleri işleme gereksinimlerinden ve bu nedenle açıkça aksi belirtilmedikçe bu tür trafiği desteklemek için özellikler sunan bulut satıcılarından kaynaklandığını” söyledi.
Akamai Kıdemli Infosec Mimarı Kaan Onarlıoğlu şunları söyledi: günlük yudum: “Varsayılan olarak, Akamai uç sunucuları belirli geçersiz HTTP üstbilgilerinin geçmesine izin verir ve bunları özel üstbilgiler olarak ele alır.”
En son bilgisayar korsanlığı teknikleri haberlerini ve analizlerini takip edin
Bu özelliğin, büyük hacimli meşru trafik akışlarını ve düzgün çalışması için geçersiz üstbilgilere dayanan kaynak uygulamalarını desteklemek için gerekli olduğunu söyledi. Ancak, kaynağın istek işleme davranışına bağlı olarak bazen Akamai ve kaynak sunucular arasında beklenmeyen etkileşimlere yol açabilir.
Onarlıoğlu, “Akamai, geçersiz üstbilgiler içeren trafiği engellemek için katı bir üstbilgi ayrıştırma yapılandırma seçeneği sunuyor ve müşterilerimize, işlemlerine müdahale etmediği sürece bunu kullanmalarını şiddetle tavsiye ediyoruz,” diye devam etti Onarlıoğlu.
Onarlıoğlu’na göre Akamai, şu anda müşteriler için bir devre dışı bırakma mekanizması sunmak yerine katı üstbilgi ayrıştırmayı varsayılan bir davranış haline getirmek için çalışıyor. İşin 2023’ün başlarında tamamlanması bekleniyor.
Gupta, web geliştiricilerine her zaman RFC’ye ve onun tavsiyelerine uymalarını tavsiye etti. “Pek çok şirket onları takip etmiyor ve ayrıca herhangi bir önlem almıyor, bu bazen ciddi bir sorun haline geliyor” dedi.
ÖNERİLEN Araştırmacı, 70 web önbellek zehirlenmesi güvenlik açığını keşfeder ve böcek ödülü ödüllerinde 40 bin dolar kazanır