Ευπάθεια HTTP/2 χρησιμοποιείται για επιθέσεις DoS
Μια νέα ευπάθεια, γνωστή ως HTTP/2 CONTINUATION Flood, εντοπίστηκε στο πρωτόκολλο HTTP/2, η οποία επιτρέπει πιθανές επιθέσεις DoS.
Ο ερευνητής ασφαλείας Bartek Nowotarski ανέφερε το ζήτημα στο Κέντρο Συντονισμού CERT (CERT/CC) στις 25 Ιανουαρίου 2024. Η ευπάθεια προκύπτει από τον ακατάλληλο χειρισμό των πλαισίων “CONTINUATION”, τα οποία χρησιμοποιούνται για τη συνέχιση ακολουθιών τμημάτων μπλοκ κεφαλίδων στο HTTP/2. Πολλές υλοποιήσεις HTTP/2 αποτυγχάνουν να περιορίσουν ή να “καθαρίσουν” τον αριθμό των πλαισίων “CONTINUATION” , με αποτέλεσμα μια ροή να κατακλύζει τη μνήμη διακομιστή ή ακόμα και να προκαλεί σφάλματα.
Αντίθετα με προηγούμενες ευπάθειες όπως η Ταχεία Επαναφορά, η επίθεση HTTP/2 CONTINUATION Flood αντιπροσωπεύει μια σοβαρή απειλή. Με έναν μόνο υπολογιστή ή ακόμα και μια μόνο σύνδεση TCP, η επίθεση αυτή μπορεί να προκαλέσει σημαντικές διαταραχές στη διαθεσιμότητα του διακομιστή. Επιπλέον, η επίθεση είναι δύσκολη να ανιχνευθεί, καθώς τα κακόβουλα αιτήματα δεν καταγράφονται στα αρχεία καταγραφής πρόσβασης HTTP. Η ευπάθεια αυτή επηρεάζει πολλά έργα, συμπεριλαμβανομένων των amphp/http, Apache HTTP Server, Apache Tomcat, Apache Traffic Server, Envoy proxy, Golang, h2 Rust crate, nghttp2, Node.js και Tempesta FW.
Ο Nowotarski επισημαίνει την έλλειψη αναφοράς στο RFC 9113 σχετικά με τις επιπτώσεις της αποστολής πλαισίων συνέχεια χωρίς την τελική σημαία END_HEADERS, κάτι που επιδεινώνει την ευπάθεια. Οι διακομιστές που επηρεάζονται μπορεί να αντιμετωπίσουν προβλήματα από στιγμιαία σφάλματα έως εξάντληση της CPU.
Για να αντιμετωπιστούν πιθανές απειλές, συνιστάται στους χρήστες να ενημερώσουν το σχετικό λογισμικό στις πιο πρόσφατες εκδόσεις. Σε περιπτώσεις όπου οι ενημερώσεις δεν είναι διαθέσιμες, προτείνεται η προσωρινή απενεργοποίηση του HTTP/2 στον διακομιστή. Αυτή η ευπάθεια υπογραμμίζει τη σημασία ισχυρών πρωτοκόλλων και έγκαιρων ενημερώσεων για την αντιμετώπιση αναδυόμενων απειλών ασφαλείας στις τεχνολογίες του διαδικτύου.