Új HTTP/2 sebezhetőség: Egyetlen kapcsolat megbéníthatja a webszervereket
A HTTP/2 protokollban újonnan felfedezett, “CONTINUATION Flood” néven azonosított sebezhetőségek jelentős kockázatot jelentenek, mivel olyan szolgáltatásmegtagadási (DoS) támadásokat tesznek lehetővé, amelyek egyetlen TCP-kapcsolaton keresztül megbéníthatják a webszervereket. Ezek a sebezhetőségek a HTTP/2 CONTINUATION keretekkel való visszaéléshez kapcsolódnak, amelyek az adatátvitel során töredezett üzenetblokkok összeillesztésére szolgáló komponensek. Mivel számos HTTP/2 implementációban nem korlátozzák és ellenőrzik megfelelően e keretek használatát, a támadók kihasználhatják azokat arra, hogy túl hosszú keretsorozatot küldjenek az “END_HEADERS” jelző beállítása nélkül, ami a kiszolgáló potenciális leállásához vezethet a memória kimerüléséből (OOM) vagy a CPU-erőforrások kimerüléséből.
E sebezhetőségek kihasználása súlyos következményekkel járhat: a lehetséges hatások közé tartozik a kiszolgáló összeomlása a memórián kívüli állapotok miatt, memóriaszivárgás, túlzott memóriafogyasztás és a CPU erőforrásainak kimerülése. Barket Nowotarski kutató kiemelte, hogy ezek a sebezhetőségek azért különösen veszélyesek, mert egyetlen HTTP/2 kapcsolat segítségével kihasználhatók, így súlyosabbak, mint a korábban ismert támadások. A CERT koordinációs központ riasztásokat tett közzé, amelyek több CVE azonosítót sorolnak fel, amelyek különböző HTTP/2 implementációknak felelnek meg, amelyek sebezhetőek ezekkel a támadásokkal szemben, és olyan jelentős szoftverprojekteket és platformokat érintenek, mint a Node.js, az Envoy, a Tempesta FW, az AMPHP, a Go net/http csomagjai, az nghttp2 könyvtár és az Apache szerverek.
A felfedezés miatt a fejlesztők és a szerveradminisztrátorok sürgős figyelmet és intézkedéseket kell tenniük a kockázatok csökkentése érdekében. A megoldás az érintett kiszolgálók és könyvtárak frissítését jelenti olyan verziókra, amelyek kezelik ezeket a sebezhetőségeket, valamint annak biztosítását, hogy a HTTP/2 protokoll implementációi megfelelően korlátozzák és ellenőrizzék a CONTINUATION keretek használatát az ilyen DoS-támadások megelőzése érdekében. Ezt a kihívást súlyosbítja, hogy a kihasználások felderítése és hibakeresése nehézségekbe ütközik, mivel fejlett keretelemzés nélkül a szabványos hozzáférési naplókban nem láthatók. Tekintettel a HTTP/2 széles körű elterjedésére és a sebezhetőségek súlyosságára, az érintett felek számára kritikus fontosságú, hogy azonnal reagáljanak, és biztosítsák rendszereiket a potenciális kihasználások ellen.
(forrás)
