HTTP so‘rovini yashirin yuborish hujumi CDNlar, yirik tashkilotlar va millionlab veb-saytlarga taʼsir qildi
1
34
0
HTTP 1.1 so'rovlarini yashirin yuborishning yangi variantlari ko'plab veb-saytlar, yirik tashkilotlar va keng tarqalgan kontent yetkazib berish tarmoqlariga ta'sir ko'rsatdi va pentester-hakerlarga 200,000 dollardan ortiq xavfsizlik kamchiliklari uchun mukofot - Bug Bounty keltirdi.
HTTP 1.1 so'rovlarini yashirin yuborish 0.CL
PortSwigger ilova xavfsizligi firmasining tadqiqot direktori Jeyms Kettl chorshanba kuni Black Hat konferensiyasida yangi hujum usulini taqdim etdi. Kettl bir nechta boshqa tadqiqotchilar, shu jumladan xavfsizlik kamchiliklarini topuvchi jamoa bilan birga ta'sirlangan tashkilotlarni aniqlash va ularni xavf-xatarlar haqida xabardor qilish uchun ish olib bordi.
HTTP so'rovlarini yashirin yuborish, shuningdek, desinxronlash hujumi deb ham ataladi, veb-serverlarning HTTP so'rovlarini qayta ishlashdagi nomuvofiqliklardan foydalanadi, bu esa hujumchiga zararli so'rovni odatiy so'rov ichida "yashirin" ravishda yuborish imkonini beradi.
Muammo serverlarning — odatda yukni taqsimlovchi yoki proksi sifatida ishlaydigan oldingi serverlar va veb-saytni joylashtiruvchi backend serverlarning — HTTP so'rovining qayerda tugashi va keyingi so'rovning qayerdan boshlanishini aniqlash usuliga bog'liq.
Hujumchilar maxsus ishlab chiqilgan so'rovni yaratishi mumkin, bu so'rov oldingi server tomonidan orqa serverga yo'naltiriladi, lekin orqa server bu so'rovning uzunligi nisbatan kichikroq deb aldanishi mumkin, natijada so'rovning qoldiq qismi ulanish buferida qoladi va keyingi so'rovga qo'shiladi.
Hujumchi so'rovni shunday yaratishi mumkinki, zararli qism ulanish buferida qolib, hujumchidan keyin darhol odatiy foydalanuvchi tomonidan boshlangan so'rovga qo'shiladi. Hujumchining so'rovi foydalanuvchining sessiyasini o'g'irlash, foydalanuvchini soxta (fishing) veb-saytga yo'naltirish yoki veb-keshni zaharlash va serverga boshqa foydalanuvchilarga yetkaziladigan zararli sahifani saqlashga majbur qilish uchun mo'ljallangan bo'lishi mumkin.
HTTP so'rovlarini yashirin yuborish muammosi yigirma yildan ortiq vaqt davomida "sudralib" kelmoqda va 2016-yildan beri kamida o'nlab yangi "yarim" variantlar topilgan.
Kettl tomonidan kashf qilingan yangi variant HTTP/1.1 zaifliklaridan foydalanadi va 0.CL deb nomlangan hujum usulini o'z ichiga oladi (CL.0 variantining bir turi).
Kettl va boshqa tadqiqotchilar ko'plab ta'sirlangan serverlarni aniqladilar, jumladan, T-Mobile’ning ishlab chiqarishda bo'lmagan serveri (T-Mobile 12,000 dollar xavfsizlik kamchiligi mukofoti to'ladi), GitLab serveri, uning xavfsizlik kamchiliklari dasturiga yuborilgan hisobotlarni fosh qildi (7,000 dollar mukofot to'landi) va Netlify CDN tizimlari.
Ammo tez orada ular ko'plab nishonlar Akamai CDN’idan foydalanayotganini aniqladilar.
Keyingi tahlillar shuni ko'rsatdiki, muammoning asl sababi Akamai infratuzilmasidagi zaiflik edi. Kompaniya bu muammoga CVE-2025-32094 identifikatorini berdi va uni bartaraf etish ustida tezda ish boshladi.
Akamai 9,000 dollar xavfsizlik kamchiligi mukofotini to'ladi va chorshanba kuni texnik tafsilotlarni baham ko'rgan blog postini e'lon qildi.
Kettlning so'zlariga ko'ra, bu hujum Akamai’dan foydalanadigan deyarli har bir kompaniyaning foydalanuvchi ma'lumotlarini ommaviy ravishda o'g'irlash imkonini berdi, jumladan, texnologiya gigantlari, AQSh hukumat tashkilotlari va SaaS provayderlari.
Cloudflare ham ta'sirlandi, ammo boshqa HTTP/1.1 zaifliklarini o'z ichiga olgan boshqa HTTP so'rovlarini yashirin yuborish hujumi orqali. Internet xavfsizligi va ishlash giganti bo'lgan Cloudflare’ning millionlab veb-saytlarini himoya qiluvchi tashrif buyuruvchilarni pentesterlar nazorat qiladigan saytga yo'naltirish mumkinligi aniqlandi.
Cloudflare muammoni tezda bartaraf etdi va 7,000 dollar xavfsizlik kamchiligi mukofotini to'ladi. Kompaniya muammo va uning qanday hal qilingani haqida batafsil blog postini e'lon qildi.
Umuman olganda, oq bosh kiyimli hakerlar o'z topilmalarini o'nlab kompaniyalarga xabar qildilar va jami 276,000 dollar miqdorida xavfsizlik kamchiliklari mukofotini olishdi.
Kettl chorshanba kuni topilmalarini batafsil bayon qilish uchun blog postini e'lon qildi va sanoatni HTTP/1.1’dan HTTP/2+ ga o'tishga chaqirdi, chunki mazkur zaifliklar bunday hujumlarga imkon beradi.
