Masowy DDoS przez persistent XSS – nowy niespodziewany sposób ataku?

Firma Incapsula poinformowała właśnie o wykryciu nietypowego, ale bardzo niebezpiecznego ataku typu DDoS. Tym razem atak odbywał się w warstwie aplikacyjnej (HTTP) i polegał na wykorzystaniu podatności typu persistent XSS w jednym z najczęściej odwiedzanych serwisów w Internecie.

Sam wyżej wspomniany serwis umożliwia hostowanie nagrań video, a także ich komentowanie. Nazwy serwisu nie ujawniono, ale z kolei sama lista Alexa Top 50, w której site się znajduje, nie jest jakoś specjalnie trudna do analizy. Wracając do komentowania plików video, atakujący:

1. Zlokalizowali i wykorzystali podatność persistent XSS w mechaniźmie komentowania klipów.
2. Następnie w komentarzach wstrzyknęli kod JavaScript, który odwoływał się do ich serwerów C&C (wystarczył odpowiedni iframe).
3. Z kolei kod javascriptowy serwowany przez C&C wykonywał request HTTP na cel.
4. De facto więc każdy kto odwiedził odpowiednio “skomentowany” klip video wykonywał request HTTP na cel ataku DDoS.

Tą prostą techniką udało się atakującym zalać cel przeszło 20 milionami requestów HTTP w krótkim czasie. I to bez posiadania dużej infrastruktury ani w zasadzie bez przejmowania żadnego hosta. Zombie “zgłosili” się sami.

–ms