Un grupo de especialistas en seguridad de aplicaciones web de la Universidad de Colonia, Alemania, publicó un reporte en el que se describe una nueva forma de ataque cibernético que abusa de la memoria caché para mostrar a las víctimas páginas falsas de error en lugar del sitio web legítimo.
“Cuando un usuario regresa a un sitio web previamente visitado, normalmente recibe una versión en caché del sitio mediante una red de entrega de contenido (CDN), como Cloudfare”, mencionan los expertos. Durante el ataque, bautizado como Denegación de Servicio por Envenenamiento de Caché (CPDoS), los hackers visitan un sitio web para generar una solicitud de la página web desde la CDN. No obstante, la solicitud contiene un encabezado con alguna de las siguientes tres opciones:
- Un encabezado HTTP de gran tamaño (HHO)
- Un metacaracter HTTP (HMC)
- Anulación de método HTTP (HMO)
Acorde a los expertos en seguridad de aplicaciones web, cualquiera de estos escenarios generará un error en el servidor web. La página de error se almacenará en el caché de la CDN (este es un proceso normal), por lo que terminará siendo entregada a los usuarios. “Esta página de error será enviada a otros nodos de la CDN según se actualicen, por lo que usuarios a nivel mundial del sitio afectado encontrarán el error, simulando una denegación de servicio”, mencionan los expertos.
A pesar de que no hay una verdadera condición de denegación de servicio, este ataque podría afectar las operaciones de un sitio web, su reputación e incluso su nivel de ingresos.
El informe despertó la preocupación de algunos administradores de sitios web, aunque es necesario tomar las cosas con calma e implementar ciertas medidas para prevenir esta condición. La principal medida de prevención es desactivar el almacenamiento en la memoria caché de cualquier página de error HTTP, opción habilitada por defecto en casi cualquier servicio de CDN. De este modo, las páginas de error HTTP no serán nuca replicadas a través de la distribución de contenido.
Además, los expertos en seguridad de aplicaciones web recomiendan a los administradores de sitios web verificar que su proveedor de CDN se ajuste a los protocolos estándar de almacenamiento en caché, además de limitar algunas funciones del caché. Modificar las configuraciones de almacenamiento en caché para mostrar sólo algunas páginas de error (como 404 Not Found y 400 Bad Request) reducirá el impacto de esta clase de ataques.
Los especialistas reportaron en tiempo y forma a las compañías afectadas; gracias a estos reportes, empresas como Amazon y Microsoft han comenzado a implementar algunas medidas para corregir estos errores.
Otras compañías afectadas, como Flask, no se han pronunciado respecto a los reportes, por lo que aún está por verse si los usuarios de sus servicios logran mitigar el riesgo de explotación. Expertos en seguridad de aplicaciones web del Instituto Internacional de Seguridad Cibernética (IICS) recomiendan a los administradores de sitios web que aún tengan dudas sobre este ataque y sus mitigaciones dirigirse directamente al sitio web creado para publicar todos los detalles acerca de esta condición.
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad