Веб-приложения и серверы на JavaScript уязвимы к атакам ReDoS

Веб-приложения и серверы на JavaScript уязвимы к атакам ReDoS

Веб-приложения и серверы на JavaScript затрагивает опасная форма уязвимости, которая может привести к успешной атаке вида ReDoS (regular expression denial of service). Злоумышленник может проэксплуатировать уязвимость, посылая большие и сложные фрагменты текста на инпут веб-сервера или приложения на основе JavaScript.

Если серверный компонент или библиотека приложения специально не предназначены для обработки различных исключительных ситуаций, действия атакующего могут привести к блокировке всего приложения или сервера за считанные минуты.

Известно, что у различных языков программирования и технологий веб-серверов есть схожие проблемы с операциями сопоставления шаблонов, что подвергает их опасности атаки ReDoS. Однако в случае с JavaScript все усугубляется из-за однопоточной модели реализации большинства серверов JavaScript, где каждый запрос обрабатывает тот же поток.

Если злоумышленник проведет атаку ReDoS, она «положит» весь сервер, а не только одну конкретную операцию. Интересно, что впервые подобные схемы ReDoS-атак были описаны еще в далеком 2012 году.

Проведенный в прошлом году исследования показали, что 5 % всех уязвимостей, обнаруженных в библиотеках и приложениях Node.js, были связаны с ReDoS.

Сейчас же эксперты считают, что атаки ReDoS набирают популярность, так эти уязвимости игнорировались на протяжении долгого времени. Кристиан-Александру Стайцу и Майкл Прадель из Дармштадтского технического университета в Германии сообщили об обнаружении 25 ранее неизвестных уязвимостей в популярных модулях Node.js.

Эксперты опубликовали список этих модулей и брешей в них:

Исследователи полагают, что злоумышленник может создать специальные эксплойты для атаки сайтов с помощью любой из этих 25 библиотек.

Эксперты проверили 2 846 популярных сайта, из которых 339 (12 %) оказались уязвимы хотя бы перед одной ReDoS-уязвимостью.

Стайцу и Прадель опубликовали POC-код, доказывающий наличие проблемы, на GitHub.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Group-IB спасла Okko Спорт от потери 40 млн руб.

Group-IB совместно с Okko Спорт, официальным вещателем Английской Премьер-лиги (АПЛ) в России, выявила и заблокировала более 16 500 пиратских ссылок на нелегальные онлайн-трансляции и архивные видеозаписи АПЛ. Тем самым компания предотвратила для правообладателя трансляций ущерб  на сумму около 42 млн рублей.

Самыми популярными у пиратов оказались матчи 17 тура сезона 2019-2020, где «Манчестер Юнайтед» вничью сыграл с «Эвертоном» (1:1), а «Арсенал» проиграл «Манчестер Сити» (0:3). Также высокий интерес вызвал 19 тур нынешнего сезона с победами «Манчестер Сити» над «Кристал Пэлас» (4:0) и «Арсенала» над «Ньюкаслом» (3:0).

В последние годы онлайн-трансляции футбольных и хоккейных матчей, поединков по смешанным единоборствам и соревнований по легкой атлетике завоевали в России огромную популярность. Безусловными лидерами по количеству просмотров, по данным Group-IB, являются трансляции Английской Премьер-лиги (АПЛ), боёв UFC, матчей Национальной хоккейной лиги (NHL) и Национальной баскетбольной ассоциации (NBA).

Развитие рынка легального потокового видео вызвало повышенный интерес со стороны пиратов, специализирующихся на организации нелегальных ретрансляций. В 2019 году выручка одного среднестатистического пирата-стримера, по оценкам Group-IB, составляла $ 111 000 в год. Однако пандемия внесла свои коррективы: из-за отмены матчей и переноса соревнований доходы пиратов-стримеров в 2020 году по сравнению с 2019 годом упали на 47,5% до суммы в $ 40 000. Тем не менее, уже к концу 2021 года эксперты Group-IB прогнозируют увеличение количества спортивных трансляций до «докоронавирусных» показателей, и, следовательно, выручка пиратов будет расти.

«Учитывая интерес зрителей и возможности монетизации, многие видеосервисы и телеканалы в последние годы разделили спортивный контент на три потока: цифровое, кабельное вещание и интернет-трансляция на различных платформах, — отмечает Андрей Бусаргин, заместитель руководителя Group-IB по направлению защиты от цифровых рисков. — Приобретая исключительные права на спортивные трансляции, видеосервисы стараются привнести в полученный потоковый видеоконтент свою добавленную стоимость — комментарии, статистику и аналитику. Пираты фактически обесценивают всю эту работу и сами зарабатывают миллионы на организации нелегальных ретрансляций, а также незаконном использовании имен звезд и спортивных брендов».

Исследовав по заказу мультимедийного сервиса Оkkо рынок пиратского спортивного стриминга матчей Английской Премьер-лиги, эксперты Group-IB Anti-Piracy установили, что ретрансляции матчей размещались как на пиратских видеохостингах, так и на тематических ресурсах. Самыми популярными у пиратов оказались матчи 17 тура АПЛ сезона 2019-2020 (удалено 1104 ссылки) и 19 тура сезона 2020-2021 (774 удаленных ссылок). 

Для того, чтобы затруднить обнаружение нелегального видеоконтента, пираты создавали резервные и персонализированные CDN-источники, сайты-зеркала, а после окончания стриминговой трансляции удаляли цифровые отпечатки аудиовизуального контента — в момент завершения трансляций он автоматически скрывался из общего доступа.

 

В ответ на новые вызовы компания Group-IB усовершенствовала комплекс мер по защите потокового видео (Real Time Protection) на платформе Group-IB Antipiracy. В частности, был улучшен алгоритм отслеживания и блокировки анонсов и рекламы нелегальных трансляций в Telegram, а также в сервисах видеоконференций; расширена база модераторских аккаунтов для мгновенного устранения нарушений на крупных площадках.

Обнаружив нелегальную трансляцию матчей ПЛ, специалисты  Group-IB Anti-Piracy фиксировали на экране уникальный QR-код, который присваивается каждому пользователю Оkkо. Пиратская ссылка удалялась, а служба по борьбе с пиратством сервиса по этому идентификатору выявляла нарушителя, блокировала его личный кабинет и включала номер его телефона в «черный список» для предотвращения новой регистрации. В итоге команда  Group-IB Anti-Piracy  сохранила правообладателю — мультимедийному сервису «Оkkо» (входит в Rambler Group) более 42 млн рублей, удалив 16 500 ссылок  на ретрансляции потокового и архивного видео. Кроме того,  были также переданы обнаруженные нарушения, касающиеся нелегитимного использования в интернете логотипа Английской Премьер-лиги.

«Благодаря сотрудничеству с Group-IB мы смогли заблокировать огромное количество ссылок на нелегальные трансляции, — говорит Олег Манжа, генеральный директор Okko Спорт. — Проблема с пиратством для нас носит не только коммерческий, но и эстетический характер. В Okko Спорт можно смотреть Английскую Премьер-лигу в высочайшем качестве и сразу на нескольких устройствах с возможностью выбрать аудиодорожку, в то время как пираты предлагают низкое качество, а ресурсы, на которых размещаются видео, часто представляют угрозу для безопасности пользователей». 

Эксперты Group-IB уверены, что классического мониторинга и блокировки уже недостаточно — необходимо выявлять и блокировать инфраструктуру преступных групп, используя автоматизированную систему для поиска и устранения цифровых рисков на основе искусственного интеллекта, база знаний которой регулярно подпитывается данными об инфраструктуре, тактике, инструментах и новых схемах пиратов.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru