Sebuah tim akademisi asal Cina telah menemukan cara baru dalam penyalahgunaan paket HTTP untuk mengirim paket lalu lintas web dan membuat offline situs web juga server content delivery network (CDN). Dinamai serangan RangeAmp, teknik Denial-of-Service (DoS) baru ini mengeksploitasi implementasi atribut “Range Requests” HTTP yang rentan.
Range Requests HTTP adalah bagian dari standar HTTP dan memungkinkan klien (biasanya browser) untuk meminta hanya bagian tertentu (range) file dari server. Fitur ini dibuat untuk menjeda dan melanjutkan lalu lintas dalam situasi terkendali (jeda/melanjutkan) atau tidak terkendali (kemacetan jaringan atau pemutusan).
Standar Range Requests HTTP menjadi pembahasan dalam Internet Engineering Task Force (IETF) selama lebih dari setengah dekade, tetapi karena kegunaannya, hal itu sudah diterapkan oleh browser, server, dan CDN.
Ditemukan dua serangan RangeAmp
Tim akademisi asal Cina mengatakan bahwa penyerang dapat menggunakan Range Requests HTTP yang berbahaya untuk memperjelas bagaimana server web dan sistem CDN bereaksi ketika harus berurusan dengan operasi range request.
Tim mengatakan bahwa mereka menemukan dua serangan RangeAmp yang berbeda.
Yang pertama disebut serangan RangeAmp Small Byte Range (SBR). Dalam hal ini (lihat [a] pada gambar di bawah), penyerang mengirimkan range request HTTP berbahaya ke provider CDN, yang memperkuat lalu lintas menuju server tujuan, yang akhirnya menabrak situs yang ditargetkan.
Yang kedua disebut serangan RangeAmp Overlapping Byte Ranges (OBR). Dalam hal ini (lihat [b] pada gambar di bawah), penyerang mengirimkan range request HTTP berbahaya ke provider CDN, dan dalam kasus ini, lalu lintas disalurkan melalui server CDN lain, lalu lintas diperkuat di dalam jaringan CDN, server dan rendering CDN menjadi crash, dan akhirnya CDN maupun banyak situs tujuan lainnya tidak dapat diakses alias offline
Tim akademisi mengatakan mereka menguji serangan RangeAmp terhadap 13 provider CDN dan menemukan bahwa semua rentan terhadap serangan SBR, dan enam diantaranya rentan terhadap serangan OBR ketika digunakan dalam kombinasi tertentu.
Para peneliti mengatakan serangan itu sangat berbahaya dan hanya membutuhkan sumber daya yang minimum untuk dilakukan. Dari keduanya, serangan SBR lah yang paling efektif.
Tim akademisi menemukan bahwa penyerang dapat menggunakan serangan SBR untuk meningkatkan lalu lintas dari 724 menjadi 43.330 kali dari lalu lintas aslinya.
Sedangkan serangan OBR sedikit lebih sulit untuk dilakukan, karena enam CDN yang rentan dalam penelitian perlu adanya konfigurasi khusus (master-surrogate), tetapi ketika kondisi terpenuhi, para peneliti mengatakan serangan OBR juga dapat digunakan untuk meningkatkan lalu lintas di dalam jaringan CDN dengan faktor penguatan paket yang dikirimkannya bisa hingga hampir 7.500 kali lipat dari ukuran asalnya.
Dari keduanya, serangan OBR dianggap lebih berbahaya, karena penyerang dapat membuat offline seluruh jaringan penyedia CDN juga ribuan situs web sekaligus.
Baca Juga: “NXNSAttack Bisa Disalahgunakan Untuk Serangan DDoS Berskala Besar“
Vendor CDN sudah diberitahu tentang serangan ini tujuh bulan lalu
Tim akademisi mengatakan bahwa selama beberapa bulan terakhir mereka telah diam-diam menghubungi penyedia CDN yang terkena dampak dan mengungkapkan rincian serangan RangeAmp.
Dari 13 penyedia CDN, para peneliti mengatakan bahwa 12 merespon positif dan mengatakan mereka berencana merilis pembaruan untuk implementasi Range Requests HTTP mereka.
Daftar vendor ini diantaranya yaitu Akamai, Alibaba Cloud, Azure, Cloudflare, CloudFront, CDNsun, CDN77, Fastly, Lab G-Core, Huawei Cloud, KeyCDN, dan Tencent Cloud.
“Secara umum, kami telah mencoba yang terbaik untuk secara bertanggung jawab melaporkan kerentanan dan memberikan solusi mitigasi. Vendor CDN terkait memiliki hampir tujuh bulan untuk menerapkan teknik mitigasi sebelum makalah ini diterbitkan.” kata para peneliti.
Setiap balasan dari provider CDN, bersama dengan rincian teknis tentang serangan RangeAmp, tersedia di makalah penelitian yang berjudul “CDN Backfired: Amplification Attacks Based on HTTP Range Requests,” dan tersedia untuk diunduh dalam format PDF di: https://www.liubaojun.org/uploads/1/1/8/3/118316462/dsn_2020.pdf.
Loading...
Reload document
Open in new tab Makalah tersebut akan dipresentasikan pada bulan Juli di konferensi virtual IEEE/IFIP DSN 2020, di mana itu adalah salah satu dari tiga makalah yang dinominasikan untuk Best Paper Award.
