解构Web缓存欺骗攻击:它们是有害的,现在怎么办?
“Web缓存”是指在源网络服务器前端临时存储经常访问的内容,可有效地提供对相同内容的后续请求的任何一种技术。无论是部署在企业内的集中式缓存代理,还是具有大规模分布式缓存边缘服务器的内容交付网络(CDN),缓存已成为关键的互联网基础设施,支持可扩展的流量传递。
针对缓存的攻击并不新鲜。然而,直到2017年,Web缓存攻击才显著增长,新颖的攻击手段经常成为头条新闻。诸如“Web缓存欺骗攻击”、“实用缓存投毒”和“CPDoS:缓存投毒拒绝服务”等作品展示了容易被不良分子利用的灾难性漏洞。
在我们与特伦托大学和东北大学的学者进行的研究中,我们着重研究了前述的Web缓存欺骗攻击(web cache deception attack,),简称WCD。 WCD是一种特别具有破坏性的威胁,攻击者欺骗缓存将受害者的敏感数据存储在其中,从而将其泄露到互联网上。我们分析了340个热门网站,发现其中37个受到了WCD的影响,同时发现对现有攻击技术进行简单调整就足以发现新的可利用目标。(我们将在2020年8月的Usenix安全研讨会上展示这项工作,题为“Cached and Confused:野外的Web缓存欺骗”)。
WCD是否是真正的安全问题?绝对是。在过去的几年里,这一点已经被反复强调。在本专栏中,我将关注一个被大多数人忽视的问题:考虑到问题的严重性,为什么我们没有看到研究人员争先提出防御方案?为什么安全供应商没有推出解决方案来占领市场?
不幸的是,这直接是因为Web缓存易于被利用,但在安全性方面的保护难度相对较大。让我们深入了解攻击是如何工作的,以理解为什么。
WCD起源于缓存和源服务器对给定HTTP请求的解释方式之间的差异。例如,攻击者可以制作一个指向银行网站上账户信息的URL,但在其后附加一个伪装成静态图像的不存在路径组件,比如“/account.php/nonexistent.jpg”。许多源服务器将简单地忽略无效的后缀,并回复带有账户详细信息的内容。然而,代理内容的Web缓存将对源服务器上发生的处理一无所知,并将响应存储为图像。如果攻击者能够欺骗用户点击此链接,受害者的账户信息将被缓存,为攻击者提供窃取信息的机会。
从这里可观察到,无论是源服务器还是Web缓存都没有个别的错误或问题。实际上,当我们单独检查它们时,它们都能全然安全地执行它们的预期功能。相反,漏洞是由两个处理流量的技术对同一请求的不同解释而导致的,从而导致对响应的“可缓存性”产生分歧。也许在分析WCD时,相较于更传统的安全模型,一个安全模型更为适用:故障组件并不导致漏洞;相反,组件之间的危险交互会导致事故的发生。
严重的影响
这对安全专业人员具有严重的影响。修复WCD漏洞与修补破损软件有很大的不同;它需要站点运营商采用对其Web基础设施的整体视图。运营商需要识别可能影响其环境中的互联网流量的所有技术,了解它们各自单独运作的凡是及它们如何相互影响,只为找出漏洞。如此一来,修复可能需要进行侵入性的架构更改。
对于小型Web部署而言,这已经是一个相当复杂的任务,但大型企业通常横跨全球基础设施,利用集中式缓存的拼凑方式,并链接多个CDN提供商,如此一来这项任务迅速变得难以解决。
另一方面,攻击者不需要担心这种复杂性,也无需了解漏洞存在的原因,只需将目标视为黑匣子来测试他们的漏洞。扫描大量站点搜寻漏洞很简单,但修复单个漏洞则需要相当大的努力。
基本挑战
随着新攻击变体的大量涌现、令人兴奋的进攻性研究机会以及媒体对被利用站点的关注,人们很容易忽视有效 WCD 防御的基本挑战。缓存攻击在好转之前可能会变得更糟,而我们还没有一个好的解决方案。自动发现网络架构中的危险交互是一个尚未解决的研究问题。。
与此同时,回归资产管理最佳实践是一个不错的选择。维护良好的系统寄存器描述了实体及其之间的关系,这对于帮助站点运营商追踪潜在的 WCD 漏洞方面发挥了重要的作用。然而,也许最重要的是认识到像 WCD 这样的系统安全问题不可能仅由系统所有者、缓存供应商或 CDN 提供商自己解决。对整个互联网基础设施进行以系统为中心的安全和安全分析,需要所有相关方的协作。