XSS-fout in populaire site voor het delen van video's maakte een DDoS-aanval mogelijk via de browsers van bezoekers

Aanvallers misbruikten een kwetsbaarheid op een populaire site voor het delen van video's om de browsers van gebruikers te kapen voor gebruik in een grootschalige gedistribueerde denial-of-service-aanval, aldus onderzoekers van het webbeveiligingsbedrijf Incapsula.

De aanval vond woensdag plaats en was het gevolg van een aanhoudende cross-site scripting (XSS) -kwetsbaarheid in een website die Incapsula weigerde te noemen, maar volgens verkeer behoort tot de top 50-websites ter wereld op basis van statistieken van Alexa, eigendom van Amazon.

XSS-gebreken zijn het gevolg van onjuiste filtering van gebruikersinvoer en kunnen aanvallers in staat stellen ongeoorloofde scriptcode in webpagina's te injecteren. Als de code permanent wordt opgeslagen door de server en wordt bezorgd aan alle gebruikers die de betreffende pagina bekijken, wordt de aanval als permanent beschouwd.

Gebruikers van de naamloze site voor het delen van video's kunnen profielen maken en opmerkingen achterlaten en de XSS-fout stelde aanvallers in staat om een ​​nieuw account te maken met frauduleuze JavaScript-code die in de img-tag is geïnjecteerd die overeenkomt met de profielfoto.

"Als resultaat werd elke keer dat de afbeelding werd gebruikt op een van de pagina's van de site (bijvoorbeeld in de commentaarsectie) de kwaadaardige code ook ingebed, wachtend om te worden uitgevoerd door elke toekomstige bezoeker van die pagina," de Incapsula zeiden onderzoekers donderdag in een blogpost.

De frauduleuze code genereerde een iframe dat een DDoS-script in de browser van bezoekers laadde vanaf een externe command-and-control (C & C) -server, waardoor de browsers effectief werden gekaapt en hen werden gedwongen om op de achtergrond verzoeken naar een externe site te sturen.

De resulterende aanval op de beoogde site bestond uit 20 miljoen GET-verzoeken die werden ontvangen van 22.000 browsers met een snelheid van ongeveer 20.000 verzoeken per seconde, aldus de Incapsula-onderzoekers.

"De meeste websites kunnen niet 10 procent van dat volume bevatten", zei Marc Gaffan, mede-oprichter van Incapsula, vrijdag via e-mail. "Bovendien, aangezien de verzoeken afkomstig zijn van de browsers van echte gebruikers, is het erg moeilijk om ze te detecteren en te blokkeren."

De gekaapte browsers stoppen met het verzenden van verzoeken zodra de geïnfecteerde pagina is gesloten, dus de aanvallers plaatsten strategisch opmerkingen over populaire video's van 10, 20 en 30 minuten. Dit "creëerde in feite een zelfvoorzienend botnet met tienduizenden gekaapte browsers, beheerd door nietsvermoedende menselijke bezoekers die er alleen waren om een ​​paar grappige kattenvideo's te bekijken", aldus de Incapsula-onderzoekers..

XSS-kwetsbaarheden benutten om DDoS-aanvallen uit te voeren, is niet iets nieuws. De techniek zelf is al jaren bekend, maar wordt niet vaak gebruikt omdat het kwetsbaarheden in websites met veel verkeer vereist om echt effectief te zijn.

De Incapsula-onderzoekers denken dat de aanval woensdag mogelijks slechts een testrun was, omdat het aanvalsscript op de C & C-server verder werd verbeterd en bijgewerkt met trackingmogelijkheden, mogelijk voor toekomstige factureringsdoeleinden. Dit zou erop kunnen duiden dat de aanvallers een DDoS-verhuurdienst rond de techniek bouwen.

"Dit zou het begin kunnen zijn van een nieuwe trend waarin sites die door gebruikers gegenereerde inhoud toestaan ​​systematisch kunnen worden geëxploiteerd," zei Gaffan. 'Vandaar de investering in nieuwe aanvalstechnologie.'

Word lid van de Network World-gemeenschappen op Facebook en LinkedIn om commentaar te geven op onderwerpen die voorop staan.