Keşifleriniz için maksimum değeri nasıl elde edeceğinize dair bir ders
İki İtalyan güvenlik araştırmacısı, Akamai’nin kendisinden hiçbir şey almamasına rağmen, bir Akamai yanlış konfigürasyonunun keşfi için 46.000 dolardan fazla ödül aldı.
Akamai, Apple, Microsoft, Airbnb ve ABD Savunma Bakanlığı dahil olmak üzere binden fazla şirket tarafından kullanılan, dünyanın en yaygın kullanılan içerik dağıtım ağlarından (CDN’ler) biridir.
Araştırmacılar Jacopo Tediosi ve Francesco Mariani, böcek ödül platformu Whitejar aracılığıyla Akamai kullanan bir web sitesinde böcek ararken, önbelleği keyfi içerikle zehirlemelerine izin veren bir yanlış yapılandırma keşfettiler.
En son hata ödül araştırması hakkında daha fazla bilgi edinin
Araştırmacılar, güvenlik açığının yaygın HTTP kaçakçılığı ve atlamalı başlık kötüye kullanım tekniklerinin bir birleşimi olduğunu söyledi.
“Atlamadan atlama” adlı özel başlıklar, istekleri bir sonraki proxy’ye veya hedefe iletmeden önce proxy’lerden kaldırılır.
Ancak, başlığın ‘hop-by-hop’ olarak belirtilmesi, Akamai Edge Nodes’un onu kaldırmasına neden oldu. Bu, HTTP isteğinin bir kısmını ayrı bir ikinci yeni istek olarak yorumlayan sonraki düğümlerle senkronizasyonun bozulmasına neden oldu.
Bu ikinci yanıt kuyruğa alındı ve daha sonra diğer istemcilerden veya kullanıcılardan gelen isteklere yanıt olarak gönderilerek bir HTTP kaçakçılığı güvenlik açığına neden oldu.
Tediosi, “Bir saldırgan, ABD Savunma Bakanlığı, PayPal, Airbnb, Mastercard, PlayStation, Microsoft, Apple, vb. gibi büyük müşterilerini etkileyen, Akamai ağı tarafından sunulan herhangi bir etki alanına kötü niyetli rastgele içerik ekleyebilir” dedi. Günlük Swig.
“Bu, bu web sitelerinin görünümünü ve davranışını istedikleri gibi değiştirebilecekleri anlamına geliyor. Ayrıca, kullanıcıların tarayıcılarının orijinal sitelerde, sanki kullanıcılar yapıyormuş gibi istenmeyen eylemler gerçekleştirmesini sağlayabilirler.”
Mevcut düzeltmeler
Şirket o zamandan beri, henüz bir danışma belgesi yayınlanmamış olmasına rağmen, başlık değeri içinde anahtar kelimenin belirtilmesini engelleyerek sorunu düzeltti.
Tediosi ve Mariani, 24 Mart’ta Akamai ile temasa geçtiler ve 2 Nisan’da devreye alınan sessiz bir düzeltme ile açıklamayı koordine etmek için anlaştılar. Ne yazık ki, sürecin başında kendilerine şirketin hata ödülleri veya başka ödüller sunmadığı söylendi.
Ancak, Akamai yama üzerinde çalışırken ikili, şirketin bazı müşterilerinin ödüllerini almaya karar verdi.
“Akamai’nin bir hata ödül programı olmadığı için çalışmamızı ödüllendirmenin tek yolu buydu. Dürüst olmak gerekirse bu çözümü kullanmak istemedim, ancak yine de işe yaradı ve etik kalmamıza izin verdi” diyor Tediosi.
“Bu gibi zorlukların araştırmacıları buldukları güvenlik açıklarını bildirmemeye, internette güvenlik açıkları bırakmaya veya daha da kötüsü bunları karaborsada satmaya teşvik etmesi beni biraz endişelendiriyor.”
Çift, orijinal araştırma için Whitejar’dan hemen 5.000 dolar aldı. Bugcrowd, Microsoft ve Apple dahil olmak üzere bir dizi hata ödül platformu ve kuruluşu güvenlik açığını tekrarlayamazken, diğerleri ödeme yapmaktan mutlu oldular.
Ödüller arasında PayPal’dan 25.200 dolar, Airbnb’den 14.875 dolar, Hyatt Hotels’den 4000 dolar, Valve’den 750 dolar, Zomato’dan 450 dolar ve Goldman Sachs’tan 100 dolar yer aldı.
Tediosi, kaçakçılık için hop-by-hop başlıklarının kullanılmasının Akamai dışındaki diğer uygulamaları etkileyebileceğine inandığını ve daha fazla araştırmayı hak ettiğini söylüyor. Ek olarak, Akamai’nin düzeltmesini atlamanın mümkün olabileceğini söylüyor.
ÖNERİLEN Tarayıcı destekli desync: Yeni bir HTTP istek kaçakçılığı saldırısı sınıfı