兩名研究人員Jacopo Tediosi、Francesco Mariani發現,Akamai在處理HTTP標頭的錯誤配置,有可能讓攻擊者得以利用任意內容來毒化快取。研究人員指出,這項弱點是結合了HTTP挾持與逐節點(hop-by-hop)標題濫用手法,將影響使用Akamai服務的大多客戶,包含美國國防部、PayPal、Airbnb、微軟、蘋果等,攻擊者可利用這項漏洞隨意竄改受害公司的網站外觀及行為。

研究人員Jacopo Tediosi、Francesco Mariani為了對他們發現的漏洞進行概念性驗證,他們使用了PayPal網域架設新的快取網頁,但經過漏洞利用後,內容被置換成Akamai另一家客戶電信業者Sky Mobile網站上的robots.txt。(點選圖片可觀看研究人員製作的GIF動畫)

這兩名研究人員首先於3月下旬通報Akamai,該公司於4月初著手修補。但不幸的是,該公司沒有打算提供報酬。於是,研究人員決定也向Akamai的客戶通報此事,結果他們從資安業者Whitejar、PayPal、Airbnb、凱悅飯店分別獲得5,000美元、25,200美元、14,875 美元、4,000美元。

研究人員表示,雖然他們想到了變通的方法而沒有做白工,但因為Akamai沒有漏洞懸賞制度,其他研究人員若是找到該公司系統的漏洞,很可能因為無法獲得報酬而不予通報,甚至將漏洞賣給黑市。

熱門新聞

Advertisement