کشف ۸ آسیب‌پذیری جدید در پروتکل HTTP/2 که وب‌سایت‌ها را در معرض حمله DoS قرار می‌دهد

خبرها حاکی از آن است که پیاده‌سازی‌های مختلف HTTP/2 _آخرین نسخه از پروتکل HTTP_ دارای تعدادی آسیب‌پذیری‌ امنیتی بوده که اکثر وب‌سرورهای محبوب مانند IIS، Apache و Nginx را تحت تأثیر قرار می‌دهد.

این پروتکل که در ماه می ۲۰۱۵ به میدان آمد، به منظور بالا بردن سطح امنیت و بهبود سرعت در بارگذاری صفحات وب طراحی شد. امروزه بیش از صدها میلیون وب‌سایت، و به عبارت دیگر حدود ۴۰ درصد از کل سایت‌های اینترنتی از پروتکل HTTP/2 استفاده می‌کنند.
در مجموع ۸ آسیب‌پذیری با درجه شدت high در این پروتکل یافت شده است،که ۷ مورد از آن‌ها توسط Jonathan Looney از Netflix و یک مورد توسط Piotr Sikora از گوگل، کشف شده‌اند، که به دلیل عملکرد نادرست منابع، هنگام استفاده از ورودی‌های مخرب اجازه می‌دهد کلاینت، صفِ مدیریت کدِ سرور را دچار سربار نماید.
از این آسیب‌پذیری‌ها می‌توان برای اجرای حملات DoS علیه میلیون‌ها سرویس آنلاین و وب‌سایتی که در حال اجرای وب‌سرور با پیاده‌سازی آسیب‌پذیر HTTP/2 هستند استفاده نمود.
سناریوی حمله این‌گونه است که یک کلاینت مخرب از سرور آسیب‌پذیر مورد هدف درخواست می‌کند کاری را انجام دهد که درآن یک پاسخ  تولید شود، اما پس از آن، کلاینت از خواندن پاسخ امتناع ورزیده و موجب می‌گردد که هنگام پردازش درخواست‌ها میزان مصرف حافظه و CPU در سرورِ هدف به حداکثر برسد و سرور از پاسخگویی بازماند.
اکثر آسیب‌پذیری‌هایی که در زیر لیست شده‌اند در لایه انتقال HTTP/2 کار می‌کنند:


CVE-2019-9511 — HTTP/2 ‪"Data Dribble"‬
CVE-2019-9512 — HTTP/2 ‪"Ping Flood"‬
CVE-2019-9513 — HTTP/2 ‪"Resource Loop"‬
CVE-2019-9514 — HTTP/2 ‪"Reset Flood"‬
CVE-2019-9515 — HTTP/2 ‪"Settings Flood"‬
CVE-2019-9516 — HTTP/2 ‪"0-Length Headers Leak"‬
CVE-2017-9517 — HTTP/2 ‪"Internal Data Buffering"‬
CVE-2019-9518 — HTTP/2 ‪"Request Data/Header Flood"‬


برخی از این آسیب‌پذیری‌ها به اندازه‌ای کارایی دارند که به تنهایی می‌توانند چندین سرور را نابود کنند. سایر حملات کارایی کمتری دارند، اما این به معنی بی‌‌خطربودن آن‌ها نیست چرا که همین حملات می‌توانند راه را برای حملات DDoSی که تشخیص و مهار کردن آن‌ها بسیار دشوار است، باز کنند.
البته باید توجه داشت که آسیب‌پذیری‌های مذکور تنها برای ایجاد حملات DoS می‌توانند مورد سوءاستفاده قرار گیرند و به مهاجمان اجازه نمی‌دهند که محرمانگی و یکپارچگی داده‌های موجود در سرورهای آسیب‌پذیر را به خطر بیندازند.
تیم امنیتی Netflix، که با Google و CERT برای افشاء نقص‌های HTTP/2 همکاری نمود، ۷ مورد از ۸ آسیب‌پذیری را در چندین  مورد از پیاده‌سازی‌های  این پروتکل در ماه می سال ۲۰۱۹ کشف نموده و آن را به تمامی مسئولین و عاملان دخیل در طراحی این پروتکل گزارش داد.
به گفته تیم امنیتی CERT، بسیاری از عرضه‌کنندگان این پروتکل مانند Nginx، Apache، H2O، Nghttp2، Microsoft (IIS)، Cloudflare، Akamai، Apple (SwiftNIO)، Amazon، Facebook (Proxygen)، Node.js و Envoy proxy در حال حاضر برای آسیب‌پذیری‌های موجود وصله‌های امنیتی مورد نظر را منتشر نموده‌اند.

 

توصیه امنیتی
توصیه می‌گردد به منظور جلوگیری از حملات DoS ناشی از این آسیب‌پذیری‌ها، هر چه سریعتر وصله‌های امنیتی مربوطه را نصب نمایید.


منبع خبر: https://thehackernews.com/2019/08/http2-dos-vulnerability.html