- 公開日
新しい HTTP/2 DoS 攻撃により、単一の接続で Web サーバーがクラッシュする可能性があります
- 著者
- 名前
- AbnAsia.org
- @steven_n_t
"新たに発見された「CONTINUATION Flood」と呼ばれる HTTP/2 プロトコルの脆弱性は、サービス拒否 (DoS) 攻撃につながり、一部の実装では単一の TCP 接続で Web サーバーをクラッシュさせる可能性があります。
HTTP/2 は、2015 年に標準化された HTTP プロトコルのアップデートであり、効率的なデータ送信のためのバイナリ フレーム化、単一の接続上で複数の要求と応答を可能にする多重化、オーバーヘッドを削減するためのヘッダー圧縮を導入することにより、Web パフォーマンスを向上させるように設計されています。
新しい CONTINUATION Flood 脆弱性は、研究者の Barket Nowotarski 氏によって発見されました。同氏は、これは HTTP/2 CONTINUATION フレームの使用に関連しており、プロトコルの多くの実装で適切に制限またはチェックされていないと述べています。
HTTP/2 メッセージには、ブロックにシリアル化されたヘッダー セクションとトレーラー セクションが含まれます。これらのブロックは送信のために複数のフレームにわたって断片化でき、CONTINUATION フレームはストリームを結合するために使用されます。
多くの実装で適切なフレーム チェックが省略されているため、攻撃者は「END_HEADERS」フラグを設定しないだけで非常に長いフレーム文字列を送信する可能性があり、これらのフレームのメモリ不足によるクラッシュや CPU リソースの枯渇によるサーバーの停止につながる可能性があります。処理されます。
研究者は、実装によっては単一の HTTP/2 TCP 接続を使用すると、メモリ不足の状態がサーバーのクラッシュにつながる可能性があると警告しました。
「メモリ不足は、おそらく最も退屈だが深刻なケースです。これには特別なことは何もありません。奇妙なロジックや興味深い競合状態などはありません」と Nowotarski 氏は説明します。
「OOM を許可する実装では、CONTINUATION フレームを使用して構築されるヘッダー リストのサイズが制限されませんでした。」
「ヘッダー タイムアウトのない実装では、サーバーをクラッシュさせるために必要な HTTP/2 接続が 1 つだけ必要でした。」
本日公開された CERT コーディネーション センター (CERT-CC) のアラートには、これらの攻撃に対して脆弱なさまざまな HTTP/2 実装に対応する複数の CVE ID がリストされています。
これらの実装では、以下で説明するように、メモリ リーク、メモリ消費、CPU の枯渇など、さまざまなレベルのサービス拒否攻撃が可能になります。
CVE-2024-27983: Node.js HTTP/2 サーバーに影響します。いくつかの HTTP/2 フレームを送信すると、競合状態によりメモリ リークが発生し、潜在的な DoS につながる可能性があります。
CVE-2024-27919: Envoy の oghttp コーデックに影響します。ヘッダー マップの制限を超えた場合にリクエストがリセットされないため、メモリ消費量が無制限になります。
CVE-2024-2758: Tempesta FW に関連します。そのレート制限は空の CONTINUATION フレーム攻撃を効果的に防止できず、潜在的に DoS を許可します。
CVE-2024-2653: amphp/http に影響します。 CONTINUATION フレームを無制限のバッファーに収集するため、ヘッダー サイズ制限を超えると OOM がクラッシュする危険があります。
CVE-2023-45288: Go の net/http および net/http2 パッケージに影響します。攻撃者が任意の大規模なヘッダー セットを送信し、過剰な CPU 消費を引き起こすことを許可します。
CVE-2024-28182: nghttp2 ライブラリを使用した実装が関与しており、CONTINUATION フレームを受信し続けるため、適切なストリーム リセット コールバックが行われずに DoS が発生します。
CVE-2024-27316: Apache Httpd に影響します。 END_HEADERS フラグが設定されていない CONTINUATION フレームの連続ストリームが送信され、リクエストが不適切に終了する可能性があります。
CVE-2024-31309: Apache Traffic Server に影響します。 HTTP/2 継続 DoS 攻撃により、サーバー上で過剰なリソースが消費される可能性があります。
CVE-2024-30255: Envoy バージョン 1.29.2 以前に影響します。 CONTINUATION フレームのフラッドによる CPU の枯渇に対して脆弱であり、大量のサーバー リソースを消費します。
重大な影響
CERT-CC によると、これまでのところ、上記の CVE の少なくとも 1 つによる影響があることを確認しているベンダーおよび HTTP/2 ライブラリは、Red Hat、SUSE Linux、Arista Networks、Apache HTTP Server Project、nghttp2、Node.js です。 、AMPHP、および Go プログラミング言語。
ノウォタルスキー氏は、この問題は大手クラウドサービスプロバイダーが昨年10月に明らかにした「HTTP/2 Rapid Reset」攻撃よりも深刻で、2023年8月から積極的に悪用されていると述べた。
「Cloudflare Radar が全インターネット転送の 70% 以上の HTTP トラフィック データと、影響を受けるプロジェクトの重要性を推定していることを考慮すると、インターネットの大部分が悪用しやすい脆弱性の影響を受けていると推測できると思います。多くの場合、単一の TCP だけです接続はサーバーをクラッシュさせるのに十分だった」とノウォタルスキー氏は警告した。
また、適切な HTTP/2 の知識がなければ、サーバー管理者がこの問題をデバッグして緩和するのは複雑になるだろうと研究者は警告しています。
これは、サーバー上で高度なフレーム分析が有効になっていない場合 (ほとんどの場合は有効ではありません)、悪意のあるリクエストがアクセス ログに表示されないためです。
脅威アクターは通常、ストレッサー サービスや攻撃に使用する新たに発見された DDoS テクニックを監視しているため、脆弱性が積極的に悪用される前に、影響を受けるサーバーとライブラリをアップグレードすることが重要です。"
日本語版は Ai 支援を使用しているため、小さな間違いが存在する可能性があることをご了承ください。 
著者
Ai Base Network (ABN), ABN ASIAは、アカデミアに深く関わり、アメリカ、オランダ、ハンガリー、日本、韓国、シンガポール、ベトナムでの仕事経験を持つ人々によって設立されました。ABN ASIAは、学問とテクノロジーが機会と出会う場所です。最先端のソリューションと優れたソフトウェア開発サービスにより、ビジネスがレベルアップし、グローバルシーンに挑戦できるよう支援しています。 私たちの取り組み: より速く。 より良い。 より信頼性が高くなります。 ほとんどの場合、価格も安くなります。
いつでも、ITサービス、デジタルコンサルティング、既製のソフトウェアソリューション、または提案依頼書(RFP)をお探しの際は、お気軽にお問い合わせください。お問い合わせ先は[email protected]です。お客様のテクノロジーに関するニーズにお応えします。
© ABN ASIA