Yeni keşfedilen HTTP/2 protokolü, "Devam Seli" adı verilen güvenlik açıkları, bazı uygulamalarda tek bir TCP bağlantısına sahip Web sunucularını çökerten, Hizmet Reddetme (DOS) saldırılarına yol açabilir.
HTTP/2, 2015 yılında standartlaştırılmış HTTP protokolünün bir güncellemesidir, verimli veri iletimi için ikili çerçeveleme, tek bir bağlantı üzerinden birden fazla istek ve yanıta izin vermek için çoğalma ve üstbilgi sıkıştırmasını, üstesinden gelen bir şekilde, çoklu olarak, bir güncellemedir.
Yeni devam sel güvenlik açıkları, protokolün birçok uygulamasında düzgün bir şekilde sınırlı olmayan veya kontrol edilmeyen HTTP/2 devam çerçevelerinin kullanımı ile ilgili olduğunu söyleyen araştırmacı Barket Nowotarski tarafından keşfedildi.
HTTP/2 mesajları, bloklara serileştirilmiş başlık ve römork bölümlerini içerir. Bu bloklar iletim için birden fazla kare boyunca parçalanabilir ve devam çerçeveleri akışı dikmek için kullanılır.
Birçok uygulamada uygun çerçeve kontrollerinin ihmal edilmesi, tehdit aktörlerinin potansiyel olarak 'End_headers' bayrağını ayarlamayarak son derece uzun bir çerçeve dizisi göndermesine izin vererek, bu kareler olarak bellek dışı çökmeler veya CPU kaynak tükenmesi nedeniyle sunucu kesintilerine yol açar. işlem görüyor.
Araştırmacı, bellek dışı koşulların bazı uygulamalarda tek bir HTTP/2 TCP bağlantısı kullanarak sunucu kazalarına yol açabileceği konusunda uyardı.
Nowotarski, "Hafızadan muhtemelen en sıkıcı ama şiddetli vakalar var. Bu konuda özel bir şey yok: garip mantık yok, ilginç bir yarış koşulu ve benzeri değil."
Diyerek şöyle devam etti: "OOM'a izin veren uygulamalar, devam çerçeveleri kullanılarak oluşturulan başlık listesinin boyutunu sınırlamadı."
"Üstbilgi zaman aşımı olmayan uygulamalar sunucuyu çökertmek için sadece tek bir HTTP/2 bağlantısı gerektirir."
Bugün yayınlanan CERT Koordinasyon Merkezi'nden (CERT-CC) bir uyarı, bu saldırılara karşı savunmasız farklı HTTP/2 uygulamalarına karşılık gelen birkaç CVE ID'ini listelemektedir.
Bu uygulamalar, aşağıda açıklandığı gibi, bellek sızıntıları, bellek tüketimi ve CPU tükenmesi dahil olmak üzere çeşitli hizmet saldırılarının reddine izin verir:
Şimdiye kadar, CERT-CC'ye göre, yukarıdaki CVES'lerden en az biri Red Hat, Suse Linux, Arista Networks, Apache HTTP Sunucusu Projesi, NGHTTP2, NOD.JS'dir. , AMPHP ve GO programlama dili.
Nowotarski, sorunun geçen Ekim ayında Ağustos 2023'ten bu yana aktif sömürü altında olan büyük bulut servis sağlayıcıları tarafından ortaya çıkan 'HTTP/2 hızlı sıfırlama' saldırısından daha şiddetli olduğunu söyledi.
"Cloudflare radarının HTTP trafik verilerini tüm internet aktarımının% 70'inin üzerinde tahmin ettiği ve etkilenen projelerin önemini tahmin ettiği göz önüne alındığında, internetin büyük bir kısmının, yok edilmesi kolay bir güvenlik açığından etkilendiğini varsayabileceğimize inanıyorum: Birçok durumda sadece tek bir TCP Bağlantı sunucuyu çarpmak için yeterliydi, "diye uyardı Nowotarski.
Ayrıca, araştırmacı, sunucu yöneticilerinin uygun HTTP/2 bilgisi olmadan hata ayıklamaları ve hafifletmesi için sorunun karmaşık olacağı konusunda uyarıyor.
Bunun nedeni, çoğu durumda gelişmiş çerçeve analizi etkinleştirilmemesi durumunda kötü niyetli isteklerin erişim günlüklerinde görünmez olmasıdır.
Tehdit aktörleri, yeni keşfedilen DDOS tekniklerini streser hizmetlerinde ve saldırılarında kullanacak şekilde izledikçe, güvenlik açıkları aktif olarak sömürülmeden önce etkilenen sunucuları ve kütüphaneleri yükseltmek önemlidir.
Ivanti, RCE, DOS saldırılarına izin veren VPN ağ geçidi güvenlik açığını düzeltir
Yeni Ivanti RCE Kususu, 16.000 açıkta kalan VPN ağ geçitlerini etkileyebilir
Yeni 'Loop DoS' saldırısı 300.000'e kadar çevrimiçi sistemi etkileyebilir
KeyTrap Saldırısı: Bir DNS Paketiyle İnternet Erişimi Bozuldu
92.000'den fazla açık D-Link NAS cihazının bir arka kapı hesabı var
Kaynak: Bleeping Computer