Investigador demuestra 4 nuevas variantes del ataque de contrabando de solicitudes HTTP

Una nueva investigación ha identificado cuatro nuevas variantes de ataques de contrabando de solicitudes HTTP que funcionan contra varios servidores web comerciales y servidores proxy HTTP. Amit Klein, vicepresidente de investigación de seguridad de SafeBreach, quien presentó los hallazgos en la conferencia de seguridad de Black Hat , dijo que los ataques destacan cómo los servidores web y […]

Una nueva investigación ha identificado cuatro nuevas variantes de ataques de contrabando de solicitudes HTTP que funcionan contra varios servidores web comerciales y servidores proxy HTTP.

Amit Klein, vicepresidente de investigación de seguridad de SafeBreach, quien presentó los hallazgos en la conferencia de seguridad de Black Hat , dijo que los ataques destacan cómo los servidores web y los servidores proxy HTTP siguen siendo susceptibles al contrabando de solicitudes HTTP incluso después de 15 años desde que se documentaron por primera vez.

¿Qué es el contrabando de solicitudes HTTP?

El contrabando de solicitudes HTTP (o desincronización HTTP) es una técnica empleada para interferir con la forma en que un sitio web procesa secuencias de solicitudes HTTP que se reciben de uno o más usuarios.

Las vulnerabilidades relacionadas con el contrabando de solicitudes HTTP generalmente surgen cuando el front-end (un equilibrador de carga o proxy) y los servidores back-end interpretan el límite de una solicitud HTTP de manera diferente, lo que permite que un mal actor envíe (o “contrabando”) una ambigüedad solicitud que se antepone a la siguiente solicitud de usuario legítima.Esta desincronización de solicitudes puede explotarse para secuestrar credenciales, inyectar respuestas a los usuarios e incluso robar datos de la solicitud de una víctima y filtrar la información a un servidor controlado por el atacante.

La técnica fue demostrada por primera vez en 2005 por un grupo de investigadores de Watchfire, incluidos Klein, Chaim Linhart, Ronen Heled y Steve Orrin. Pero en los últimos cinco años, se han ideado una serie de mejoras , expandiéndose significativamente en la superficie de ataque para empalmar las solicitudes en otros y “obtener el máximo privilegio de acceso a las API internas”, envenenar cachés web y comprometer páginas de inicio de sesión de aplicaciones populares.

¿Qué hay de nuevo?

Las nuevas variantes reveladas por Klein implican el uso de varias combinaciones de servidor proxy, incluidos Aprelium’s Abyss, Microsoft IIS, Apache y Tomcat en el modo de servidor web, y Nginx, Squid, HAProxy, Caddy y Traefik en el modo de proxy HTTP.