CERTMIL

Centrul de Răspuns la Incidente de Securitate Cibernetică

Noul atac DoS HTTP/2 poate bloca serverele web cu o singură conexiune

https://www.bleepingcomputer.com

Vulnerabilitățile recent descoperite ale protocolului HTTP/2, denumite CONTINUATION Flood, pot duce la atacuri de tip DoS (denial of service), blocând serverele web cu o singură conexiune TCP în anumite implementări.

HTTP/2 este o actualizare a protocolului HTTP standardizat în 2015, menită să îmbunătățească performanța web prin introducerea framing-ului binar pentru transmiterea mai eficientă a datelor și multiplexarea pentru a permite mai multe cereri și răspunsuri într-o singură conexiune și compresia antetului pentru a reduce costurile generale.

Noile vulnerabilități CONTINUATION Flood au fost descoperite de specialistul Barket Nowotarski, care spune că se referă la utilizarea frame-urilor HTTP/2 CONTINUATION, care nu sunt limitate sau verificate corespunzător în multe implementări ale protocolului.

Omiterea verificării frame-urilor în multe implementări permite atacatorilor să trimită un șir extrem de lung de frame-uri prin neaplicarea flag-ului END_HEADERS, ceea ce duce la întreruperi ale serverului.

Aceste implementări permit diferite tipuri de atacuri denial of service, inclusiv scurgeri de memorie și consum excesiv de memorie:

  • CVE-2024-27983: afectează serverul Node.js HTTP/2;
  • CVE-2024-27919: afectează codecul oghttp al lui Envoy;
  • CVE-2024-2758: se referă la Tempesta FW;
  • CVE-2024-2653: afectează amphp/http;
  • CVE-2023-45288: afectează pachetele net/http și net/http2 din Go;
  • CVE-2024-28182: se referă la o implementare care utilizează biblioteca nghttp2, care continuă să primească frame-uri CONTINUATION, ceea ce duce la un atac de tip DoS fără un callback corespunzător de resetare a fluxului;
  • CVE-2024-27316: afectează Apache Httpd;
  • CVE-2024-31309: afectează Apache Traffic Server;
  • CVE-2024-30255: afectează versiunile Envoy 1.29.2 sau versiunile anterioare.

Vendorii și bibliotecile HTTP/2 care au confirmat că sunt afectate de cel puțin unul dintre CVE-urile de mai sus sunt Red Hat, SUSE Linux, Arista Networks, Apache HTTP Server Project, nghttp2, Node.js, AMPHP și limbajul de programare Go.

Remedierea vulnerabilităților ar fi mai dificilă pentru administratorii de servere dacă nu au cunoștințe adecvate despre HTTP/2. Cererile malițioase nu ar fi vizibile în jurnalele de acces dacă analiza avansată a cadrelor nu este activată pe server.

Se recomandă cu tărie actualizarea serverelor și a bibliotecilor afectate înainte ca vulnerabilitățile să fie exploatate.

Sursă: https://www.bleepingcomputer.com/news/security/new-http-2-dos-attack-can-crash-web-servers-with-a-single-connection/

© Ministerul Apărării Naţionale | Site realizat de Agenția de Apărare Cibernetică |