Neuer HTTP/2-DoS-Angriff kann Webserver mit einer einzigen Verbindung zum Absturz bringen

"Neu entdeckte Schwachstellen im HTTP/2-Protokoll mit der Bezeichnung „CONTINUATION Flood können zu Denial-of-Service-Angriffen (DoS) führen und in einigen Implementierungen Webserver mit einer einzelnen TCP-Verbindung zum Absturz bringen.

HTTP/2 ist ein 2015 standardisiertes Update des HTTP-Protokolls, das die Webleistung verbessern soll, indem binäres Framing für eine effiziente Datenübertragung, Multiplexing zur Ermöglichung mehrerer Anfragen und Antworten über eine einzige Verbindung und Header-Komprimierung zur Reduzierung des Overheads eingeführt werden

Die neuen CONTINUATION Flood-Schwachstellen wurden vom Forscher Barket Nowotarski entdeckt, der sagt, dass sie mit der Verwendung von HTTP/2 CONTINUATION Frames zusammenhängen, die in vielen Implementierungen des Protokolls nicht ordnungsgemäß eingeschränkt oder überprüft werden.

HTTP/2-Nachrichten enthalten Header- und Trailer-Abschnitte, die in Blöcken serialisiert sind. Diese Blöcke können zur Übertragung auf mehrere Frames fragmentiert werden, und die CONTINUATION-Frames werden zum Zusammenfügen des Streams verwendet.

Das Fehlen ordnungsgemäßer Frame-Prüfungen in vielen Implementierungen ermöglicht es Bedrohungsakteuren, möglicherweise eine extrem lange Folge von Frames zu senden, indem sie einfach das Flag „END_HEADERS nicht setzen, was zu Serverausfällen aufgrund von Abstürzen aufgrund von Speichermangel oder Erschöpfung der CPU-Ressourcen wie diesen Frames führt verarbeitet werden.

Der Forscher warnte, dass bei einigen Implementierungen ein Speichermangel bei Verwendung einer einzelnen HTTP/2-TCP-Verbindung zu Serverabstürzen führen könnte.

„Out of Memory sind wahrscheinlich die langweiligsten und zugleich schwerwiegendsten Fälle. Daran ist nichts Besonderes: keine seltsame Logik, keine interessante Rennbedingung und so weiter, erklärt Nowotarski.

„Die Implementierungen, die OOM ermöglichen, haben die Größe der Header-Liste, die mit CONTINUATION-Frames erstellt wurde, einfach nicht begrenzt.

„Implementierungen ohne Header-Timeout erforderten nur eine einzige HTTP/2-Verbindung, um den Server zum Absturz zu bringen.

Eine heute veröffentlichte Warnung des CERT Coordination Center (CERT-CC) listet mehrere CVE-IDs auf, die verschiedenen HTTP/2-Implementierungen entsprechen, die für diese Angriffe anfällig sind.

Diese Implementierungen ermöglichen Denial-of-Service-Angriffe in unterschiedlichem Ausmaß, einschließlich Speicherlecks, Speicherverbrauch und CPU-Auslastung, wie unten beschrieben:

CVE-2024-27983: Betrifft den HTTP/2-Server von Node.js. Das Senden einiger HTTP/2-Frames kann aufgrund einer Race-Bedingung zu einem Speicherverlust und damit zu einem möglichen DoS führen.

CVE-2024-27919: Beeinflusst den oghttp-Codec von Envoy. Unbegrenzter Speicherverbrauch, da eine Anfrage nicht zurückgesetzt wird, wenn die Header-Map-Grenzwerte überschritten werden.

CVE-2024-2758: Bezieht sich auf Tempesta FW. Seine Ratenbegrenzungen verhindern Angriffe mit leeren CONTINUATION-Frames nicht wirksam und ermöglichen möglicherweise DoS.

CVE-2024-2653: Betrifft amphp/http. Es sammelt CONTINUATION-Frames in einem unbegrenzten Puffer und riskiert einen OOM-Absturz, wenn die Header-Größenbeschränkung überschritten wird.

CVE-2023-45288: Betrifft die Pakete net/http und net/http2 von Go. Ermöglicht einem Angreifer, einen beliebig großen Satz von Headern zu senden, was zu einer übermäßigen CPU-Auslastung führt.

CVE-2024-28182: Beinhaltet eine Implementierung unter Verwendung der nghttp2-Bibliothek, die weiterhin CONTINUATION-Frames empfängt, was zu einem DoS ohne ordnungsgemäßen Stream-Reset-Callback führt.

CVE-2024-27316: Betrifft Apache Httpd. Es kann ein kontinuierlicher Strom von CONTINUATION-Frames ohne gesetztes END_HEADERS-Flag gesendet werden, was zu einer fehlerhaften Beendigung von Anforderungen führt.

CVE-2024-31309: Betrifft den Apache Traffic Server. HTTP/2-FORTSETZUNG Ein DoS-Angriff kann zu einem übermäßigen Ressourcenverbrauch auf dem Server führen.

CVE-2024-30255: Betrifft Envoy-Versionen 1.29.2 oder früher. Anfällig für CPU-Erschöpfung aufgrund einer Flut von CONTINUATION-Frames, die erhebliche Serverressourcen verbrauchen.

Schwere Auswirkungen

Bisher laut CERT-CC sind Red Hat, SUSE Linux, Arista Networks, das Apache HTTP Server Project, nghttp2 und Node.js Anbieter und HTTP/2-Bibliotheken, die bestätigt haben, dass sie von mindestens einem der oben genannten CVEs betroffen sind , AMPHP und die Programmiersprache Go.

Nowotarski sagt, das Problem sei schwerwiegender als der „HTTP/2 Rapid Reset-Angriff, der im vergangenen Oktober von großen Cloud-Dienstanbietern aufgedeckt wurde und seit August 2023 aktiv ausgenutzt wird.

„Angesichts der Schätzung von Cloudflare Radar, dass HTTP-Verkehrsdaten über 70 % aller Internetübertragungen ausmachen, und angesichts der Bedeutung der betroffenen Projekte können wir davon ausgehen, dass ein großer Teil des Internets von einer leicht auszunutzenden Schwachstelle betroffen war: in vielen Fällen nur ein einziges TCP. Die Verbindung reichte aus, um den Server zum Absturz zu bringen, warnte Nowotarski.

Außerdem warnt der Forscher, dass das Problem für Serveradministratoren ohne entsprechende HTTP/2-Kenntnisse nur schwer zu debuggen und zu beheben wäre.

Das liegt daran, dass die böswilligen Anfragen nicht in den Zugriffsprotokollen sichtbar wären, wenn die erweiterte Frame-Analyse auf dem Server nicht aktiviert wäre, was in den meisten Fällen nicht der Fall ist.

Da Bedrohungsakteure häufig auf neu entdeckte DDoS-Techniken achten, die sie in ihren Stressdiensten und -angriffen nutzen können, ist es wichtig, betroffene Server und Bibliotheken zu aktualisieren, bevor die Schwachstellen aktiv ausgenutzt werden."

Bitte beachten Sie, dass die französische Version von Ai unterstützt wird und daher geringfügige Fehler auftreten können.

AUTOR

Über ABN Asia: Ai Base Network (ABN), ABN Asia wurde im Jahr 2012 gegründet und ist ein Unternehmen mit akademischem Hintergrund, das von Lehrkräften und ehemaligen Studierenden aus Ungarn, den Niederlanden, Russland, Deutschland und Japan gegründet wurde. Wir teilen eine gemeinsame Leidenschaft und eine klare Vision für Technologie, die Innovation und erstklassige Qualität für unsere Kunden bringt. Unser Motto lautet: Besser. Schneller. Sicherer. In vielen Fällen: Günstiger.

Zögern Sie nicht, uns zu kontaktieren, wenn Sie IT-Dienstleistungen, digitale Beratung, Standardsoftwarelösungen benötigen oder uns Angebotsanfragen (RFPs) senden möchten. Sie können uns unter [email protected] kontaktieren. Wir sind bereit, Ihnen bei all Ihren Technologiebedürfnissen zu helfen.

© ABN ASIA