کشف ۸ آسیبپذیری جدید در پروتکل HTTP/2 که وبسایتها را در معرض حمله DoS قرار میدهد
خبرها حاکی از آن است که پیادهسازیهای مختلف HTTP/2 _آخرین نسخه از پروتکل HTTP_ دارای تعدادی آسیبپذیری امنیتی بوده که اکثر وبسرورهای محبوب مانند IIS، Apache و Nginx را تحت تأثیر قرار میدهد.
این پروتکل که در ماه می ۲۰۱۵ به میدان آمد، به منظور بالا بردن سطح امنیت و بهبود سرعت در بارگذاری صفحات وب طراحی شد. امروزه بیش از صدها میلیون وبسایت، و به عبارت دیگر حدود ۴۰ درصد از کل سایتهای اینترنتی از پروتکل HTTP/2 استفاده میکنند.
در مجموع ۸ آسیبپذیری با درجه شدت high در این پروتکل یافت شده است،که ۷ مورد از آنها توسط Jonathan Looney از Netflix و یک مورد توسط Piotr Sikora از گوگل، کشف شدهاند، که به دلیل عملکرد نادرست منابع، هنگام استفاده از ورودیهای مخرب اجازه میدهد کلاینت، صفِ مدیریت کدِ سرور را دچار سربار نماید.
از این آسیبپذیریها میتوان برای اجرای حملات DoS علیه میلیونها سرویس آنلاین و وبسایتی که در حال اجرای وبسرور با پیادهسازی آسیبپذیر HTTP/2 هستند استفاده نمود.
سناریوی حمله اینگونه است که یک کلاینت مخرب از سرور آسیبپذیر مورد هدف درخواست میکند کاری را انجام دهد که درآن یک پاسخ تولید شود، اما پس از آن، کلاینت از خواندن پاسخ امتناع ورزیده و موجب میگردد که هنگام پردازش درخواستها میزان مصرف حافظه و CPU در سرورِ هدف به حداکثر برسد و سرور از پاسخگویی بازماند.
اکثر آسیبپذیریهایی که در زیر لیست شدهاند در لایه انتقال HTTP/2 کار میکنند:
CVE-2019-9511 — HTTP/2 "Data Dribble"
CVE-2019-9512 — HTTP/2 "Ping Flood"
CVE-2019-9513 — HTTP/2 "Resource Loop"
CVE-2019-9514 — HTTP/2 "Reset Flood"
CVE-2019-9515 — HTTP/2 "Settings Flood"
CVE-2019-9516 — HTTP/2 "0-Length Headers Leak"
CVE-2017-9517 — HTTP/2 "Internal Data Buffering"
CVE-2019-9518 — HTTP/2 "Request Data/Header Flood"
برخی از این آسیبپذیریها به اندازهای کارایی دارند که به تنهایی میتوانند چندین سرور را نابود کنند. سایر حملات کارایی کمتری دارند، اما این به معنی بیخطربودن آنها نیست چرا که همین حملات میتوانند راه را برای حملات DDoSی که تشخیص و مهار کردن آنها بسیار دشوار است، باز کنند.
البته باید توجه داشت که آسیبپذیریهای مذکور تنها برای ایجاد حملات DoS میتوانند مورد سوءاستفاده قرار گیرند و به مهاجمان اجازه نمیدهند که محرمانگی و یکپارچگی دادههای موجود در سرورهای آسیبپذیر را به خطر بیندازند.
تیم امنیتی Netflix، که با Google و CERT برای افشاء نقصهای HTTP/2 همکاری نمود، ۷ مورد از ۸ آسیبپذیری را در چندین مورد از پیادهسازیهای این پروتکل در ماه می سال ۲۰۱۹ کشف نموده و آن را به تمامی مسئولین و عاملان دخیل در طراحی این پروتکل گزارش داد.
به گفته تیم امنیتی CERT، بسیاری از عرضهکنندگان این پروتکل مانند Nginx، Apache، H2O، Nghttp2، Microsoft (IIS)، Cloudflare، Akamai، Apple (SwiftNIO)، Amazon، Facebook (Proxygen)، Node.js و Envoy proxy در حال حاضر برای آسیبپذیریهای موجود وصلههای امنیتی مورد نظر را منتشر نمودهاند.
توصیه امنیتی
توصیه میگردد به منظور جلوگیری از حملات DoS ناشی از این آسیبپذیریها، هر چه سریعتر وصلههای امنیتی مربوطه را نصب نمایید.
منبع خبر: https://thehackernews.com/2019/08/http2-dos-vulnerability.html
