Cette découverte a été faite par une équipe de chercheurs allemands, qui a publié un site dédié pour ce qu'elle présente comme le Cache-Poisoned Denial-of-Service (CPDoS).

La technique consiste à envoyer des requêtes HTTP spécialement modifiées. La demande passe le cache CDN qui n'a pas de copie fraîche de cette page, pour arriver directement sur le serveur. 

« Sur le serveur d'origine, le traitement de la demande provoque une erreur en raison de l'en-tête malveillant », expliquent les chercheurs. « En conséquence, le serveur d'origine renvoie une page d'erreur qui est stockée par le cache au lieu de la ressource demandée ».

Les chercheurs ont identifié trois variantes : HTTP Header Oversize (HHO), HTTP Meta Character (HMC) et HTTP Method Override (HMO), qui sont détaillées par ici.

Ils proposent également une vue d'ensemble en fonction des serveurs et des caches CDN utilisés pour savoir quelles vulnérabilités peuvent être exploitées. Par exemple, IIS et ASP.net avec Akamai et Cloudflare seraient sensibles à HHO.

Une liste de contre-mesures est également détaillée par les chercheurs. De son côté, Cloudflare explique que les attaques sont similaires à d'autres empoisonnements de cache CDN présentés l'année dernière durant le DEFCON. La société se veut rassurante : « La plupart des clients n'ont pas à prendre de mesures pour se protéger des vulnérabilités récemment révélées ».  

« Certaines modifications de la configuration sont recommandées si vous êtes un client Cloudflare exécutant des versions non corrigées de Microsoft IIS et que vous avez activé "request filtering" ou avez forcé la mise en cache du code d'erreur HTTP 400 par le biais de Cloudflare Workers ».

« Nous n'avons vu aucune tentative d'exploitation des vulnérabilités décrites dans ce document », ajoute Cloudflare.