Noua vulnerabilitate descoperită în protocolul HTTP/2, numită ‘CONTINUATION Flood’, poate duce la atacuri de tip denial of service (DoS), prăbușind servere web cu o singură conexiune TCP în anumite implementări.
HTTP/2 este o actualizare a protocolului HTTP standardizată în 2015, proiectată pentru a îmbunătăți performanța web-ului prin introducerea de framing binar pentru transmiterea eficientă a datelor, multiplexare pentru a permite mai multe cereri și răspunsuri printr-o singură conexiune, precum și compresie de antet pentru a reduce suprasarcina.
Noile vulnerabilități CONTINUATION Flood au fost descoperite de cercetătorul Barket Nowotarski, care afirmă că acestea sunt legate de utilizarea cadranelor CONTINUATION din HTTP/2, care nu sunt corect limitate sau verificate în multe implementări ale protocolului.
Mesajele HTTP/2 includ secțiuni de antet și trailer serializate în blocuri. Aceste blocuri pot fi fragmentate pe mai multe cadre pentru transmitere, iar cadranele CONTINUATION sunt folosite pentru a conecta fluxul.
Omiterea verificărilor corecte ale cadranelor în multe implementări permite actorilor de amenințare să trimită potențial o șir foarte lung de cadre prin simpla nepunere a indicatorului ‘END_HEADERS’, ceea ce duce la căderi ale serverului din cauza epuizării memoriei sau a epuizării resurselor CPU în timp ce aceste cadre sunt procesate.
Cercetătorul a avertizat că condițiile de epuizare a memoriei pot duce la prăbușirea serverului utilizând o singură conexiune TCP HTTP/2 în anumite implementări.
‘Epuizarea memoriei este probabil unul dintre cele mai plictisitoare dar grave cazuri. Nu este nimic special în legătură cu aceasta: nicio logică stranie, nicio condiție de cursă interesantă etc.,’ explică Nowotarski.
‘Implementările care permit epuizarea memoriei pur și simplu nu au limitat dimensiunea listei de antete construită folosind cadre CONTINUATION.’
‘Implementările fără limită de timp pentru antet necesitau doar o singură conexiune HTTP/2 pentru a prăbuși serverul.’
O alertă emisă de CERT Coordination Center (CERT-CC) astăzi listează mai multe ID-uri CVE corespunzătoare diferitelor implementări HTTP/2 vulnerabile la aceste atacuri.
Aceste implementări permit niveluri variate de atacuri de denial of service, inclusiv scurgeri de memorie, consum de memorie și epuizare a CPU-ului, așa cum este descris mai jos:
Până acum, conform CERT-CC, furnizorii și bibliotecile HTTP/2 care au confirmat că sunt afectate de cel puțin unul dintre ID-urile CVE menționate sunt Red Hat, SUSE Linux, Arista Networks, Apache HTTP Server Project, nghttp2, Node.js, AMPHP și limbajul de programare Go.
Nowotarski spune că problema este mai gravă decât atacul ‘HTTP/2 Rapid Reset’ dezvăluit în octombrie anul trecut de către marii furnizori de servicii cloud, care a fost exploatat activ din august 2023.
‘Având în vedere că Cloudflare Radar estimează datele de trafic HTTP la peste 70% din toate transferurile de internet și importanța proiectelor afectate, cred că putem presupune că o mare parte a internetului a fost afectată de o vulnerabilitate ușor de exploatat: în multe cazuri, o singură conexiune TCP era suficientă pentru a prăbuși serverul,’ a avertizat Nowotarski.
De asemenea, cercetătorul avertizează că problema ar fi complexă pentru administratorii de servere să depaneze și să atenueze fără cunoștințe adecvate despre HTTP/2.
Aceasta deoarece cererile malefice nu ar fi vizibile în jurnalele de acces dacă analiza avansată a cadranelor nu este activată pe server, lucru care în majoritatea cazurilor nu este activ.
Cum actorii de amenințare monitorizează în mod obișnuit tehnicile de DDoS nou descoperite pentru a le folosi în serviciile și atacurile lor de stres, este crucial să se actualizeze serverele și bibliotecile afectate înainte ca vulnerabilitățile să fie exploatate activ.
Ivanti remediază vulnerabilitatea gateway-ului VPN care permite atacuri RCE, DoS
Noul atac ‘Loop DoS’ poate afecta până la 300.000 de sisteme online
Atacul KeyTrap: Accesul la internet este perturbat cu un singur pachet DNS
Defecțiune critică în modulul LayerSlider pentru WordPress afectează 1 milion de site-uri
Google remediază două vulnerabilități zero-day Pixel exploatate de firmele de investigații forensice
Leave a Reply