XSS-fejl på det populære videodelingssite aktiverede DDoS-angreb gennem besøgende 'browsere

Angribere udnyttede en sårbarhed på et populært video-delingswebsted for at kapre brugernes browsere til brug i et stort distribueret angreb på denial-of-service-angreb, ifølge forskere fra websikkerhedsfirmaet Incapsula.

Angrebet skete onsdag og var resultatet af en vedvarende sårbarhed på tværs af websitet scripting (XSS) på et websted, som Incapsula afviste at navngive, men sagde er blandt de top 50 websteder i verden med trafik baseret på statistikker fra Amazon-ejede firma Alexa.

XSS-fejl er resultatet af forkert filtrering af brugerinput og kan give angribere mulighed for at injicere uautoriseret script-kode på websider. Hvis koden gemmes permanent af serveren og leveres til alle brugere, der ser den berørte side, betragtes angrebet som vedvarende.

Brugere af det navngivne websted til deling af video kan oprette profiler og efterlade kommentarer, og XSS-fejl muliggjorde angribere at oprette en ny konto med useriøs JavaScript-kode, der er injiceret i img-taget svarende til dets profilbillede.

"Som et resultat, hver gang billedet blev brugt på en af ​​stedets sider (f.eks. I kommentarsektionen), blev den ondsindede kode også indlejret inde, og ventede på at blive udført af enhver fremtidig besøgende på denne side," siger Incapsula sagde forskere torsdag i et blogindlæg.

Den useriøse kode genererede en iframe, der indlæste et DDoS-script i besøgende 'browsere fra en tredjeparts kommando-og-kontrol (C&C) -server, effektivt kaprer browsere og tvang dem til at sende anmodninger i baggrunden til et tredjepartssite.

Det resulterende angreb mod det målrettede websted bestod af 20 millioner GET-anmodninger modtaget fra 22.000 browsere med en hastighed på ca. 20.000 anmodninger pr. Sekund, ifølge Incapsula-forskerne.

"De fleste websteder kan ikke opretholde 10 procent af dette volumen," sagde Marc Gaffan, medstifter af Incapsula, fredag ​​via e-mail. "Eftersom anmodningerne kommer fra virkelige brugers browsere, er det meget vanskeligt at opdage og blokere dem."

De kaprede browsere holder op med at sende forespørgsler, når den inficerede side er lukket, så angriberen sendte strategisk kommentarer til populære videoer, der var 10, 20 og 30 minutter lange. Denne "skabte effektivt et selvbærende botnet, der består af titusinder af kaprede browsere, der drives af intetanende menneskelige besøgende, der kun var der for at se et par sjove kattevideoer," sagde forskerne fra Incapsula..

At udnytte XSS-sårbarheder til at starte DDoS-angreb er ikke noget nyt. Selve teknikken har været kendt i årevis, men er ikke blevet brugt ofte, fordi den kræver sårbarheder på meget trafikkerede websteder for at være virkelig effektive.

Incapsula-forskerne mener, at angrebet onsdag måske kun har været en testkørsel, fordi angrebsskriptet på C & C-serveren blev yderligere forbedret og opdateret med sporingsfunktioner, muligvis til fremtidige faktureringsformål. Dette kan indikere, at angriberen bygger en DDoS-for-hire-service omkring teknikken.

"Dette kan være starten på en ny tendens, hvor websteder, der tillader brugergenereret indhold systematisk kunne udnyttes," sagde Gaffan. "Derfor investeringen i ny angrebsteknologi."

Deltag i Network World-samfundene på Facebook og LinkedIn for at kommentere emner, der er øverste af sindet.