8 noi vulnerabilități de implementare HTTP/2 expun site-urile la atacurile DoS

8 noi vulnerabilități de implementare HTTP/2 expun site-urile la atacurile DoS

Numeroase implementări de HTTP/2, cea mai recentă versiune a protocolului de rețea HTTP, au fost identificate ca fiind vulnerabile în cadrul multiplelor breșe de securitate care afectează cel mai popular software de server web, inclusiv Apache, IIS Microsoft si NGINX.

Lansat în luna mai 2015, HTTP/2 a fost proiectat pentru o mai bună securitate și o experiență online îmbunătățită prin accelerarea încărcărilor pe pagină. Astăzi, peste sute de milioane de site-uri web (sau 40% din toate site-urile de pe Internet) rulează folosind protocolul HTTP/2.

Un total de 8 vulnerabilități HTTP/2 de înaltă severitate, dintre care 7 descoperite de Jonathan Looney de la Netflix și una expusă de Piotr Sikora de la Google, există datorită epuizării resurselor atunci când se gestionează greșit input-ul, permițând unui client să supraîncarce codul de gestionare a cozii serverului.

Vulnerabilitățile pot fi exploatate în lansarea de atacuri de tip Dos (Denial of Service) împotriva a milioane de servicii online și site-uri web care rulează pe un server web. În urma implementării HTTP/2, vulnerabiliatea le comută pe modul offline pentru toți utilizatorii.

Aceste breșe de securitate permit unui număr mic de sesiuni malițioase cu lățime de bandă mică să împiedice utilizatorii să acceseze serviciile. Aceste atacuri pot să epuizeze resurse, orice alte conexiuni sau procese de pe aceeași mașină fiind afectate.

Majoritatea vulnerabilităților enumerate funcționează la nivelul de transport HTTP/2:

  • CVE-2019-9511 — HTTP/2 “Data Dribble”;
  • CVE-2019-9512 — HTTP/2 “Ping Flood”;
  • CVE-2019-9513 — HTTP/2 “Resource Loop”;
  • CVE-2019-9514 — HTTP/2 “Reset Flood”;
  • CVE-2019-9515 — HTTP/2 “Settings Flood”;
  • CVE-2019-9516 — HTTP/2 “0-Length Headers Leak”;
  • CVE-2017-9517 — HTTP/2 “Internal Data Buffering”;
  • CVE-2019-9518 — HTTP/2 “Request Data/Header Flood”.

Unele dintre acestea sunt suficient de eficiente în așa fel încât un sistem cu o singură ieșire ar putea provoca ravagii pe mai multe servere. Vulnerabilitățile pot fi utilizate doar pentru a provoca o condiție DoS și nu permit atacatorilor să compromită confidențialitatea sau integritatea datelor conținute pe serverele vulnerabile.

Echipa de securitate Netflix, lucrând în colaborare cu Google și CERT Coordination Center, a descoperit 7/8 vulnerabilități în mai multe implementări de server HTTP/2 în luna mai 2019 și le-a raportat în mod responsabil fiecăruia dintre furnizorii afectați.

Conform CERT, furnizorii afectați includ: NGINX, Apache, H2O, Nghttp2, Microsoft (IIS), Cloudfare, Akamai, Apple (SwiftNIO), Amazon, Facebook (Proxygen), Node.js și proxy Envoy, dintre care mulți au lansat deja patch-uri de securitate și avize.

No Comments

Post a Comment

Comment
Name
Email
Website