Útočníci zneužili zranitelnost v populárním webu pro sdílení videa, aby unesli prohlížeče uživatelů pro použití ve velkém měřítku distribuovaného útoku odmítnutí služby, tvrdí vědci z webové bezpečnostní firmy Incapsula..
K útoku došlo ve středu a byl výsledkem trvalé zranitelnosti skriptování mezi weby (XSS) na webových stránkách, které Incapsula odmítla pojmenovat, ale podle statistik Amazonské firmy Alexa patří mezi 50 největších webů na světě podle provozu..
Chyby XSS jsou výsledkem nesprávného filtrování vstupu uživatele a mohou útočníkům umožnit vkládat do webových stránek neautorizovaný skriptový kód. Pokud je kód trvale uložen serverem a doručen všem uživatelům, kteří si zobrazili dotčenou stránku, útok je považován za trvalý.
Uživatelé webu beze jména pro sdílení videa mohou vytvářet profily a zanechat komentáře. Útočníci XSS dovolili útočníkům vytvořit nový účet s nepoctivým kódem JavaScript vloženým do značky img odpovídající jeho profilovému obrázku..
„Výsledkem bylo, že pokaždé, když byl obrázek použit na jedné ze stránek webu (např. V sekci komentářů), byl do něj také vložen škodlivý kód, který čekal na spuštění každým budoucím návštěvníkem této stránky,“ Incapsula vědci řekl ve čtvrtek v blogu.
Nepodivný kód vygeneroval prvek iframe, který načítal skript DDoS do prohlížečů návštěvníků ze serveru příkazů a řízení (C&C) od třetí strany, což účinně ukradlo prohlížeče a nutilo je odesílat žádosti na pozadí na web třetí strany..
Výsledný útok proti cílenému webu sestával z 20 milionů požadavků GET přijatých od 22 000 prohlížečů rychlostí přibližně 20 000 požadavků za sekundu, podle vědců Incapsula..
„Většina webových stránek nedokáže udržet 10 procent tohoto objemu,“ uvedl Marc Gaffan, spoluzakladatel Incapsula, pátek e-mailem. "Navíc, protože požadavky přicházejí z prohlížečů skutečných uživatelů, je velmi obtížné je detekovat a zablokovat."
Únosové prohlížeče přestanou odesílat žádosti, jakmile je infikovaná stránka uzavřena, takže útočníci strategicky zveřejňovali komentáře k oblíbeným videím, která byla 10, 20 a 30 minut dlouhá. Tento „účinně vytvořil soběstačný botnet zahrnující desítky tisíc unesených prohlížečů, provozovaný netušícími lidskými návštěvníky, kteří tam jen sledovali pár vtipných kočičích videí,“ uvedli vědci z Incapsuly..
Využití zranitelností XSS pro spuštění útoků DDoS není nic nového. Tato technika je známa již roky, ale nebyla používána často, protože vyžaduje, aby byla zranitelnost na vysoce obchodovaných webech skutečně účinná..
Vědci z Incapsula věří, že útok ve středu mohl být pouze zkušební běh, protože útokový skript na serveru C&C byl dále vylepšen a aktualizován pomocí sledování, pravděpodobně pro účely budoucí fakturace. To by mohlo naznačovat, že útočníci kolem techniky staví službu DDoS k pronájmu.
„Mohl by to být začátek nového trendu, při kterém by bylo možné systematicky využívat weby, které umožňují obsah vytvářený uživateli,“ uvedl Gaffan. "Investice do nové útočné technologie."
Připojte se ke komunitám World World na Facebooku a LinkedIn a přidávejte komentáře k tématům, která jsou na prvním místě.
