Une faille XSS dans un site de partage de vidéos populaire a permis une attaque DDoS via les navigateurs des visiteurs

Selon des chercheurs de la société de sécurité Web Incapsula, les attaquants ont exploité une vulnérabilité dans un site de partage de vidéos populaire pour détourner les navigateurs des utilisateurs afin de l'utiliser dans une attaque de déni de service distribuée à grande échelle..

L'attaque s'est produite mercredi et était le résultat d'une vulnérabilité persistante de script intersite (XSS) dans un site Web qu'Incapsula a refusé de nommer, mais a déclaré être parmi les 50 meilleurs sites Web au monde par le trafic basé sur les statistiques de la firme Amazon Alexa.

Les failles XSS sont le résultat d'un filtrage incorrect des entrées utilisateur et peuvent permettre aux attaquants d'injecter du code de script non autorisé dans les pages Web. Si le code est stocké en permanence par le serveur et remis à tous les utilisateurs qui consultent la page affectée, l'attaque est considérée comme persistante.

Les utilisateurs du site de partage de vidéos sans nom peuvent créer des profils et laisser des commentaires et la faille XSS a permis aux attaquants de créer un nouveau compte avec du code JavaScript escroc injecté dans la balise img correspondant à sa photo de profil.

"En conséquence, chaque fois que l'image était utilisée sur l'une des pages du site (par exemple, dans la section des commentaires), le code malveillant était également intégré à l'intérieur, attendant d'être exécuté par chaque futur visiteur de cette page", a déclaré l'Incapsula. les chercheurs ont déclaré jeudi dans un blog.

Le code non autorisé a généré une iframe qui a chargé un script DDoS dans les navigateurs des visiteurs à partir d'un serveur de commande et de contrôle (C&C) tiers, détournant efficacement les navigateurs et les forçant à envoyer des demandes en arrière-plan à un site tiers..

L'attaque qui en résulte contre le site ciblé consistait en 20 millions de demandes GET reçues de 22 000 navigateurs à un taux d'environ 20 000 demandes par seconde, selon les chercheurs d'Incapsula.

"La plupart des sites Web ne peuvent pas supporter 10% de ce volume", a déclaré vendredi Marc Gaffan, co-fondateur d'Incapsula, par e-mail. "De plus, comme les demandes proviennent de navigateurs réels, il est très difficile de les détecter et de les bloquer."

Les navigateurs piratés cessent d'envoyer des demandes une fois la page infectée fermée, de sorte que les attaquants ont stratégiquement publié des commentaires sur des vidéos populaires d'une durée de 10, 20 et 30 minutes. Cela "a effectivement créé un botnet autonome comprenant des dizaines de milliers de navigateurs détournés, exploités par des visiteurs humains sans méfiance qui n'étaient là que pour regarder quelques vidéos drôles de chats", ont déclaré les chercheurs d'Incapsula..

Exploiter les vulnérabilités XSS pour lancer des attaques DDoS n'est pas quelque chose de nouveau. La technique elle-même est connue depuis des années, mais n'a pas été utilisée fréquemment car elle nécessite des vulnérabilités dans les sites Web à fort trafic pour être vraiment efficace.

Les chercheurs d'Incapsula pensent que l'attaque de mercredi n'a peut-être été qu'un test, car le script d'attaque sur le serveur C&C a été encore amélioré et mis à jour avec des capacités de suivi, éventuellement à des fins de facturation future. Cela pourrait indiquer que les attaquants mettent en place un service DDoS pour la location autour de la technique.

"Cela pourrait être le début d'une nouvelle tendance dans laquelle les sites qui autorisent le contenu généré par les utilisateurs pourraient être systématiquement exploités", a déclaré Gaffan. "D'où l'investissement dans une nouvelle technologie d'attaque."

Rejoignez les communautés Network World sur Facebook et LinkedIn pour commenter des sujets qui vous tiennent à cœur.