Cuộc tấn công DoS HTTP/2 mới có thể làm sập máy chủ web chỉ bằng một kết nối

"Các lỗ hổng giao thức HTTP/2 mới được phát hiện có tên là "CONTINUATION Flood" có thể dẫn đến các cuộc tấn công từ chối dịch vụ (DoS), làm sập các máy chủ web chỉ với một kết nối TCP trong một số hoạt động triển khai.

HTTP/2 là bản cập nhật cho giao thức HTTP được chuẩn hóa vào năm 2015, được thiết kế để cải thiện hiệu suất web bằng cách giới thiệu khung nhị phân để truyền dữ liệu hiệu quả, ghép kênh để cho phép nhiều yêu cầu và phản hồi qua một kết nối và nén tiêu đề để giảm chi phí

Các lỗ hổng CONTINUATION Flood mới được nhà nghiên cứu Barket Nowotarski phát hiện. Người này nói rằng nó liên quan đến việc sử dụng các khung CONTINUATION HTTP/2, vốn không được giới hạn hoặc kiểm tra đúng cách trong nhiều quá trình triển khai giao thức.

Thông báo HTTP/2 bao gồm các phần tiêu đề và đoạn giới thiệu được tuần tự hóa thành các khối. Các khối này có thể được phân mảnh thành nhiều khung để truyền và các khung TIẾP TỤC được sử dụng để ghép luồng.

Việc bỏ qua việc kiểm tra khung thích hợp trong nhiều quá trình triển khai cho phép các tác nhân đe dọa có khả năng gửi một chuỗi khung cực dài chỉ bằng cách không đặt cờ 'END_HEADERS', dẫn đến ngừng hoạt động máy chủ do hết bộ nhớ hoặc cạn kiệt tài nguyên CPU như các khung này được xử lý.

Nhà nghiên cứu cảnh báo rằng tình trạng hết bộ nhớ có thể dẫn đến sự cố máy chủ khi sử dụng một kết nối HTTP/2 TCP trong một số triển khai.

Nowotarski giải thích: ""Hết bộ nhớ có lẽ là những trường hợp nhàm chán nhưng nghiêm trọng nhất. Không có gì đặc biệt về nó: không có logic kỳ lạ, không có điều kiện đua thú vị, v.v.""

""Việc triển khai cho phép OOM đơn giản là không giới hạn kích thước của danh sách tiêu đề được xây dựng bằng khung TIẾP TỤC.""

""Việc triển khai không có thời gian chờ tiêu đề chỉ cần một kết nối HTTP/2 duy nhất để làm hỏng máy chủ.""

Một cảnh báo từ Trung tâm điều phối CERT (CERT-CC) được công bố hôm nay liệt kê một số ID CVE tương ứng với các triển khai HTTP/2 khác nhau dễ bị tấn công bởi các cuộc tấn công này.

Những cách triển khai này cho phép các mức độ tấn công từ chối dịch vụ khác nhau, bao gồm rò rỉ bộ nhớ, tiêu thụ bộ nhớ và cạn kiệt CPU, như được mô tả bên dưới:

CVE-2024-27983: Ảnh hưởng đến máy chủ Node.js HTTP/2. Việc gửi một vài khung HTTP/2 có thể gây rò rỉ bộ nhớ do tình trạng dồn đuổi, dẫn đến khả năng xảy ra DoS.

CVE-2024-27919: Ảnh hưởng đến codec oghttp của Envoy. Tiêu thụ bộ nhớ không giới hạn do không đặt lại yêu cầu khi vượt quá giới hạn bản đồ tiêu đề.

CVE-2024-2758: Liên quan đến Tempesta FW. Giới hạn tốc độ của nó không ngăn chặn hiệu quả các cuộc tấn công vào khung TIẾP TỤC trống, có khả năng cho phép DoS.

CVE-2024-2653: Ảnh hưởng đến amphp/http. Nó thu thập các khung TIẾP TỤC trong bộ đệm không giới hạn, có nguy cơ xảy ra sự cố OOM nếu vượt quá giới hạn kích thước tiêu đề.

CVE-2023-45288: Ảnh hưởng đến các gói net/http và net/http2 của Go. Cho phép kẻ tấn công gửi một tập hợp tiêu đề lớn tùy ý, gây tiêu tốn CPU quá mức.

CVE-2024-28182: Liên quan đến việc triển khai bằng thư viện nghttp2, tiếp tục nhận các khung TIẾP TỤC, dẫn đến DoS mà không có lệnh gọi lại đặt lại luồng thích hợp.

CVE-2024-27316: Ảnh hưởng đến Apache Httpd. Có thể gửi luồng khung CONTINUATION liên tục mà không đặt cờ END_HEADERS, chấm dứt yêu cầu không đúng cách.

CVE-2024-31309: Ảnh hưởng đến máy chủ lưu lượng truy cập Apache. HTTP/2 TIẾP TỤC Tấn công DoS có thể gây tiêu tốn quá nhiều tài nguyên trên máy chủ.

CVE-2024-30255: Ảnh hưởng đến phiên bản Envoy 1.29.2 trở về trước. Dễ bị cạn kiệt CPU do có quá nhiều khung TIẾP TỤC, tiêu tốn đáng kể tài nguyên máy chủ.

Tác động nặng nề

Cho đến nay, theo CERT-CC, các nhà cung cấp và thư viện HTTP/2 đã xác nhận rằng họ bị ảnh hưởng bởi ít nhất một trong các CVE trên là Red Hat, SUSE Linux, Arista Networks, Apache HTTP Server Project, nghttp2, Node.js , AMPHP và Ngôn ngữ lập trình Go.

Nowotarski cho biết vấn đề này nghiêm trọng hơn cuộc tấn công 'HTTP/2 Rapid Reset' được các nhà cung cấp dịch vụ đám mây lớn tiết lộ vào tháng 10 năm ngoái, cuộc tấn công này đã được khai thác tích cực kể từ tháng 8 năm 2023.

""Do Cloudflare Radar ước tính dữ liệu lưu lượng HTTP trên 70% tổng số lần truyền internet và tầm quan trọng của các dự án bị ảnh hưởng, tôi tin rằng chúng ta có thể cho rằng phần lớn internet đã bị ảnh hưởng bởi một lỗ hổng dễ khai thác: trong nhiều trường hợp chỉ một TCP duy nhất kết nối đủ để làm sập máy chủ"", Nowotarski cảnh báo.

Ngoài ra, nhà nghiên cứu cảnh báo rằng vấn đề sẽ rất phức tạp đối với quản trị viên máy chủ khi gỡ lỗi và giảm thiểu nếu không có kiến ​​thức đúng đắn về HTTP/2.

Đó là vì các yêu cầu độc hại sẽ không hiển thị trong nhật ký truy cập nếu tính năng phân tích khung nâng cao không được bật trên máy chủ, điều này trong hầu hết các trường hợp đều không được bật.

Vì các tác nhân đe dọa thường giám sát các kỹ thuật DDoS mới được phát hiện để sử dụng trong các cuộc tấn công và dịch vụ gây căng thẳng của chúng, nên điều quan trọng là phải nâng cấp các máy chủ và thư viện bị ảnh hưởng trước khi các lỗ hổng bị khai thác tích cực."

TÁC GIẢ

Về ABN Asia: Ai Base Network (ABN), ABN Asia được thành lập từ năm 2012, là một công ty xuất phát từ học thuật, do những giảng viên, cựu du học sinh Hungary, Hà Lan, Nga, Đức, và Nhật Bản sáng lập. Chúng tôi chia sẻ đam mê chung và tầm nhìn vững chắc về công nghệ, mang đến sự đổi mới và chất lượng đỉnh cao cho khách hàng. Phương châm của chúng tôi là: Tốt hơn. Nhanh hơn. An toàn hơn. Trong nhiều trường hợp: Rẻ hơn.

Hãy liên hệ với chúng tôi khi Quý doanh nghiệp có các nhu cầu về dịch vụ công nghệ thông tin, tư vấn chuyển đổi số, tìm kiếm các giải pháp phần mềm phù hợp, hoặc nếu Quý doanh nghiệp có đấu thầu CNTT (RFP) để chúng tôi tham dự. Quý doanh nghiệp có thể liên hệ với chúng tôi qua địa chỉ email [email protected]. Chúng tôi sẵn lòng hỗ trợ với mọi nhu cầu công nghệ của Quý doanh nghiệp.

© ABN ASIA