La falla de XSS en el popular sitio para compartir videos permitió el ataque DDoS a través de los navegadores de los visitantes

Los atacantes explotaron una vulnerabilidad en un sitio popular para compartir videos para secuestrar los navegadores de los usuarios para su uso en un ataque de denegación de servicio distribuido a gran escala, según investigadores de la firma de seguridad web Incapsula.

El ataque ocurrió el miércoles y fue el resultado de una vulnerabilidad persistente de scripting entre sitios (XSS) en un sitio web que Incapsula declinó nombrar, pero dijo que se encuentra entre los 50 sitios web más importantes del mundo por tráfico basado en estadísticas de la firma Alexa, propiedad de Amazon..

Los defectos de XSS son el resultado de un filtrado inadecuado de la entrada del usuario y pueden permitir a los atacantes inyectar código de script no autorizado en páginas web. Si el servidor almacena el código de forma permanente y se entrega a todos los usuarios que ven la página afectada, el ataque se considera persistente.

Los usuarios del sitio para compartir videos sin nombre pueden crear perfiles y dejar comentarios, y la falla XSS permitió a los atacantes crear una nueva cuenta con un código JavaScript falso inyectado en la etiqueta img correspondiente a su foto de perfil.

"Como resultado, cada vez que la imagen se usaba en una de las páginas del sitio (por ejemplo, en la sección de comentarios), el código malicioso también se incrustaba en el interior, esperando ser ejecutado por cada visitante futuro a esa página", dice la Incapsula Los investigadores dijeron el jueves en una publicación de blog.

El código falso generó un iframe que cargó un script DDoS en los navegadores de los visitantes desde un servidor de comando y control (C&C) de terceros, secuestrando efectivamente los navegadores y obligándolos a enviar solicitudes en segundo plano a un sitio de terceros..

El ataque resultante contra el sitio objetivo consistió en 20 millones de solicitudes GET recibidas de 22,000 navegadores a una velocidad de alrededor de 20,000 solicitudes por segundo, según los investigadores de Incapsula..

"La mayoría de los sitios web no pueden sostener el 10 por ciento de ese volumen", dijo Marc Gaffan, cofundador de Incapsula, el viernes por correo electrónico. "Además, dado que las solicitudes provienen de los navegadores de usuarios reales, es muy difícil detectarlas y bloquearlas".

Los navegadores secuestrados dejan de enviar solicitudes una vez que se cierra la página infectada, por lo que los atacantes publicaron estratégicamente comentarios en videos populares de 10, 20 y 30 minutos de duración. Esto "efectivamente creó una red de bots autosustentable que comprende decenas de miles de navegadores secuestrados, operados por visitantes humanos desprevenidos que solo estaban allí para mirar algunos videos divertidos de gatos", dijeron los investigadores de Incapsula..

Explotar las vulnerabilidades XSS para lanzar ataques DDoS no es algo nuevo. La técnica en sí se conoce desde hace años, pero no se ha utilizado con frecuencia porque requiere vulnerabilidades en sitios web altamente traficados para ser realmente efectiva.

Los investigadores de Incapsula creen que el ataque del miércoles podría haber sido solo una prueba, porque el script de ataque en el servidor de C&C se mejoró y actualizó aún más con capacidades de seguimiento, posiblemente para futuros propósitos de facturación. Esto podría indicar que los atacantes están construyendo un servicio DDoS de alquiler en torno a la técnica..

"Este podría ser el comienzo de una nueva tendencia en la que los sitios que permiten contenido generado por el usuario podrían ser explotados sistemáticamente", dijo Gaffan. "De ahí la inversión en nueva tecnología de ataque".

Únase a las comunidades de Network World en Facebook y LinkedIn para comentar temas que son lo más importante.