Il difetto XSS nel popolare sito di condivisione video ha consentito l'attacco DDoS attraverso i browser dei visitatori

Gli aggressori hanno sfruttato una vulnerabilità in un popolare sito di condivisione di video per dirottare i browser degli utenti per utilizzarli in un attacco denial-of-service distribuito su larga scala, secondo i ricercatori della società di sicurezza Web Incapsula.

L'attacco è avvenuto mercoledì ed è stato il risultato di una persistente vulnerabilità di cross-site scripting (XSS) in un sito Web che Incapsula ha rifiutato di nominare, ma ha dichiarato di essere tra i primi 50 siti Web al mondo per traffico basato su statistiche della società di proprietà Alexa Alexa.

I difetti XSS sono il risultato di un filtro improprio dell'input dell'utente e possono consentire agli aggressori di iniettare codice di script non autorizzato nelle pagine Web. Se il codice viene archiviato in modo permanente dal server e consegnato a tutti gli utenti che visualizzano la pagina interessata, l'attacco viene considerato persistente.

Gli utenti del sito di condivisione video senza nome possono creare profili e lasciare commenti e il difetto XSS ha consentito agli aggressori di creare un nuovo account con codice JavaScript non valido iniettato nel tag img corrispondente alla sua immagine del profilo.

"Di conseguenza, ogni volta che l'immagine veniva utilizzata su una delle pagine del sito (ad esempio, nella sezione dei commenti), anche il codice dannoso veniva incorporato all'interno, in attesa di essere eseguito da ogni futuro visitatore di quella pagina", l'incapsula i ricercatori hanno detto giovedì in un post sul blog.

Il codice canaglia ha generato un iframe che ha caricato uno script DDoS nei browser dei visitatori da un server di comando e controllo (C&C) di terze parti, dirottando efficacemente i browser e costringendoli a inviare richieste in background a un sito di terze parti.

L'attacco risultante contro il sito di destinazione consisteva in 20 milioni di richieste GET ricevute da 22.000 browser a una velocità di circa 20.000 richieste al secondo, secondo i ricercatori di Incapsula.

"La maggior parte dei siti Web non può sostenere il 10 percento di quel volume", ha dichiarato Marc Gaffan, co-fondatore di Incapsula, venerdì via e-mail. "Inoltre, poiché le richieste provengono dai browser di utenti reali, è molto difficile rilevarle e bloccarle."

I browser dirottati smettono di inviare richieste una volta chiusa la pagina infetta, quindi gli aggressori hanno pubblicato strategicamente commenti su video popolari della durata di 10, 20 e 30 minuti. Questo "ha effettivamente creato una botnet autosufficiente che comprende decine di migliaia di browser dirottati, gestiti da ignari visitatori umani che erano lì solo per guardare alcuni video divertenti sui gatti", hanno detto i ricercatori di Incapsula.

Sfruttare le vulnerabilità XSS per lanciare attacchi DDoS non è una novità. La stessa tecnica è nota da anni, ma non è stata utilizzata frequentemente perché richiede che le vulnerabilità nei siti Web altamente trafficati siano veramente efficaci.

I ricercatori di Incapsula ritengono che l'attacco di mercoledì avrebbe potuto essere solo una prova, perché lo script di attacco sul server C&C è stato ulteriormente migliorato e aggiornato con funzionalità di tracciamento, probabilmente per scopi di fatturazione futuri. Ciò potrebbe indicare che gli aggressori stanno costruendo un servizio DDoS a noleggio attorno alla tecnica.

"Questo potrebbe essere l'inizio di una nuova tendenza in cui i siti che consentono il contenuto generato dagli utenti potrebbero essere sistematicamente sfruttati", ha affermato Gaffan. "Da qui l'investimento nella nuova tecnologia di attacco".

Unisciti alle community di Network World su Facebook e LinkedIn per commentare argomenti che sono importanti.