Tehnografi.com - Технологические новости, обзоры и советы

8 Новые недостатки реализации HTTP / 2 подвергают сайты DoS-атакам


Различные реализации HTTP / 2, последней версии сетевого протокола HTTP, были признаны уязвимыми для множества уязвимостей безопасности, затрагивающих наиболее популярное программное обеспечение веб-сервера, включая Apache, IIS от Microsoft и NGINX.

HTTP / 2, запущенный в мае 2015 года, был разработан для повышения безопасности и улучшения работы в Интернете за счет ускорения загрузки страниц. Сегодня более сотни миллионов веб-сайтов, или около 40 процентов всех сайтов в Интернете, работают по протоколу HTTP / 2.

Всего восемь особо тяжких HTTP / 2 уязвимостиСемь из них были обнаружены Джонатаном Луни из Netflix и один Петром Сикора из Google. Это связано с исчерпанием ресурсов при обработке злонамеренного ввода, что позволяет клиенту перегружать код управления очередями сервера.

Эти уязвимости могут быть использованы для запуска атак типа «отказ в обслуживании» (DoS) на миллионы онлайн-сервисов и веб-сайтов, работающих на веб-сервере с уязвимой реализацией HTTP / 2, отбрасывая их в автономном режиме для всех.

Сценарий атаки, с точки зрения непрофессионала, состоит в том, что злонамеренный клиент просит целевой уязвимый сервер сделать что-то, что генерирует ответ, но затем клиент отказывается читать ответ, заставляя его использовать чрезмерную память и ЦП при обработке запросов.

«Эти недостатки позволяют небольшому количеству вредоносных сеансов с низкой пропускной способностью препятствовать выполнению дополнительной работы участниками соединения. Эти атаки, вероятно, истощают ресурсы, так что другие соединения или процессы на той же машине также могут быть подвержены влиянию или сбоям», – объясняет Netflix. Консультация выпущена во вторник.

Большинство из перечисленных ниже уязвимостей работают на транспортном уровне HTTP / 2:

  1. CVE-2019-9511 – HTTP / 2 "Data Dribble"
  2. CVE-2019-9512 – HTTP / 2 "Ping Flood"
  3. CVE-2019-9513 – HTTP / 2 "Цикл ресурсов"
  4. CVE-2019-9514 – HTTP / 2 "Reset Flood"
  5. CVE-2019-9515 – HTTP / 2 "Настройки Flood"
  6. CVE-2019-9516 – HTTP / 2 "Утечка заголовков 0-длины"
  7. CVE-2017-9517 – HTTP / 2 "Внутренняя буферизация данных"
  8. CVE-2019-9518 – HTTP / 2 "Запрос данных / поток заголовков"

«Некоторые из них настолько эффективны, что одна конечная система потенциально может вызвать хаос на нескольких серверах. Другие атаки менее эффективны; однако даже менее эффективные атаки могут открыть дверь для DDoS-атак, которые трудно обнаружить и заблокировать», – говорится в рекомендации. ,

Однако следует отметить, что уязвимости могут быть использованы только для того, чтобы вызвать состояние DoS и не позволяют злоумышленникам нарушить конфиденциальность или целостность данных, содержащихся на уязвимых серверах.

Команда безопасности Netflix, которая объединилась с Google и CERT Coordination Center, чтобы раскрыть сообщенные недостатки HTTP / 2, обнаружила семь из восьми уязвимостей в нескольких реализациях сервера HTTP / 2 в мае 2019 года и ответственно сообщила о них каждому из затронутых поставщиков и сопровождающих. ,

По данным CERT, к числу затронутых поставщиков относятся NGINX, Apache, H2O, Nghttp2, Microsoft (IIS), Cloudflare, Akamai, Apple (SwiftNIO), Amazon, Facebook (Proxygen), Node.js и Envoy proxy, многие из которых уже выпустили исправления безопасности и рекомендации.