Gli attacchi RangeAmp trasformano i CDN in giganteschi cannoni DoS

Gli attacchi RangeAmp trasformano i CDN in giganteschi cannoni DoS

Nessuna botnet necessaria, basta un laptop.

Ricercatori cinesi hanno delineato un modo per abusare di piccole richieste ai server Web ospitati attraverso reti di distribuzione di contenuti che consentono agli aggressori di generare attacchi DDoS.

Denominato RangeAmp [ pdf ] l'attacco sfrutta l'attributo Range Requests del protocollo Hyper Text Transfer Protocol (HTTP) per richiedere una piccola quantità casuale di dati da un file di grandi dimensioni su un server, come da un byte fino a gigabyte e risorse di dimensioni di terabyte.

Poiché è improbabile che una CDN abbia una piccola quantità di dati memorizzati nella cache, dovrà richiedere l'intero file di grandi dimensioni al server di origine su cui è archiviato, solo per servirne un byte.

Una volta che il server ha trasferito il file di grandi dimensioni sulla CDN, quest'ultimo sistema deve quindi memorizzare nella cache i dati ovunque.

Nel frattempo, il client dell'aggressore che ha effettuato la richiesta dannosa riceverà solo piccole quantità di dati, rendendo l'attacco economico ed efficiente.

"A differenza di altri attacchi DDoS che devono occupare una larga scala di botnet, l'attaccante ha solo bisogno di un normale laptop per lanciare gli attacchi RangeAmp.

I nodi di ingresso dei CDN sono sparsi in tutto il mondo, entrando in una "botnet" naturale distribuita.

Ciò rende un aggressore RangeAmp in grado di congestionare facilmente la rete di destinazione e persino creare un diniego di servizio in pochi secondi, mentre l’hacker paga un piccolo costo", hanno scritto i ricercatori.

Nello scenario RangeAmp Small Byte Range (SBR) nel peggiore dei casi, i ricercatori sono stati in grado di generare risposte per CDN e server di origine oltre 43.000 volte più grandi di quella ricevuta dall'aggressore.

Le grandi quantità di traffico generato potrebbero essere molto costose per i client CDN, hanno osservato i ricercatori.

Implementazioni CDN errate di documenti non chiari sugli standard Internet Request for Comment (RFC) sono la causa principale degli attacchi RangeAmp, hanno detto i ricercatori.

Numerose CDN sono state testate e ritenute vulnerabili agli attacchi RangeAmp, tra cui Akamai, Microsoft Azure, Cloudfront di Amazon Web Services, Alibaba Cloud, Huawei Cloud e Fastly.

Dei 13 CDN testati dai ricercatori e ai quali sono stati dati sette mesi per elaborare mitigazioni contro RangeAmp, solo Cloudflare ha deciso di non applicare misure contro l'attacco.

"Sfortunatamente, non implementeranno le nostre soluzioni di mitigazione perché Cloudflare non vuole memorizzare nella cache risposte parziali di determinate risorse.

"E loro [Cloudflare] hanno insistito sul fatto che non si stanno discostando dalle specifiche", hanno scritto i ricercatori.

Posted on

Author L'autore

Dario Fadda alias {Nuke}

Da sempre appassionato di informatica e del mondo open-source nel 2003 ho fondato il portale Spcnet.it per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo dei computers, con particolare attenzione alle tematiche di Sicurezza informatica, Malware e Ransomware, ma anche guide di Programmazione e utili suggerimenti per tutte le fasce di interesse.
Dal 2006 sono membro del Gulch (Gruppo Utenti Linux Cagliari), con cui cerco di dare il mio contributo attivo per eventi e LinuxDay.
Su Twitter segnalo e condivido nuovi Phishing pericolosi con approfondimenti sul Bank Security.

Ho ideato Hacker Alert per effettuare ricerche di vulnerabilità e phishing in tempo reale.

Praticamente per tutto ciò che scopro e che è degno di nota ne condivido il codice sorgente su Git Hub.
Per tutto il resto c'è Dario Fadda .it che contiene "quasi" tutto di me.