ТЕХНІЧНИЙ ОПИС

Зловмисники можуть шукати дані мереж доставки контенту (CDN) про жертв, які можуть бути використані під час вибору цілі. CDNs дозволяють організації хостити контент на розподіленому масиві серверів із балансуванням навантаження. CDNs також можуть дозволяти організаціям налаштовувати доставку контенту залежно від географічного регіону запитувача.

Зловмисники можуть шукати дані CDN для збору дієвої інформації. Суб’єкти загроз можуть використовувати онлайн-ресурси та інструменти пошуку для збору інформації про сервери контенту в межах CDN. Зловмисники також можуть шукати та націлюватися на помилки конфігурації CDN, які призводять до витоку конфіденційної інформації, не призначеної для хостингу, та/або яка не має таких самих механізмів захисту (наприклад, порталів входу), як контент, розміщений на вебсайті організації. Інформація з цих джерел може виявити можливості для інших форм розвідки (наприклад, активне сканування або пошук відкритих вебсайтів/доменів), розгортання оперативних ресурсів (наприклад, придбання або компрометація інфраструктури) та/або отримання початкового доступу (наприклад, компрометація типу Drive-by).

CDN як «щит» та як «мішень» Хоча CDN зазвичай встановлюють для захисту, вони можуть стати джерелом витоку критичних даних при неправильному налаштуванні:

  • Пошук реальної IP-адреси (Origin IP): Це головна мета хакера. Якщо зловмисник знайде реальну IP-адресу вашого сервера (наприклад, через історичні записи DNS або заголовки листів), він зможе атакувати його напряму, ігноруючи всі правила Cloudflare WAF.
  • Витік метаданих у заголовках: Деякі CDN додають специфічні HTTP-заголовки (наприклад, X-Cache, Server), які розкривають внутрішні імена серверів або версії ПЗ, що використовуються за «щитом».
  • Неправильно налаштовані S3-сховища: Часто CDN підключають до хмарних сховищ (AWS S3, Google Cloud Storage). Якщо права доступу налаштовані некоректно, хакер може перерахувати (enumerate) та завантажити файли безпосередньо через CDN.

Сценарії розвідки:

  • «Cloudflare Bypass»: Хакер використовує сервіси на кшталт CrimeFlare або аналізує історичні дані Censys, щоб знайти IP-адресу, яку сервер мав до підключення до CDN. Виявивши її, він запускає атаку грубої сили (Brute Force) безпосередньо на порт 22 (SSH) або 3389 (RDP).
  • «Географічна розвідка»: Оскільки CDNs адаптують контент під регіони, хакер може використовувати проксі-сервери в різних країнах, щоб побачити приховані розділи сайту або різні версії застосунків, доступні лише для певних локацій.
  • «Маніпуляція кешем»: Зловмисник шукає файли, які були випадково закешовані CDN (наприклад, .env, .git або файли резервних копій), що дає повний доступ до секретів розробки.

Як захиститися?

  • IP Whitelisting на стороні сервера: Налаштуйте фаєрвол (iptables/ufw) вашого сервера так, щоб він приймав запити лише з IP-діапазонів вашого CDN-провайдера. Це зробить пошук Origin IP марним.
  • Автентифіковані запити (Authenticated Origin Pulls): Використовуйте клієнтські сертифікати, щоб ваш сервер переконувався, що запит прийшов саме від вашого CDN, а не від хакера, який знає ваш IP.
  • Гігієна заголовків: Налаштуйте CDN так, щоб він видаляв технічні заголовки, які можуть розкрити архітектуру вашої мережі.