۸ آسیب‌پذیری جدید، پیاده‌سازی HTTP/2 وب‌گاه‌ها را در معرض حملات منع سرویس قرار می‌دهد

پیاده‌سازی‌های مختلف HTTP/2، آخرین نسخه‌ی پروتکل شبکه‌ی HTTP که در برابر آسیب‌پذیری‌های امنیتی متعدد آسیب‌پذیر است، محبوب‌ترین نرم‌افزار وب سرور از جمله آپاچی، مایکروسافت IIS و NGINX را تحت تأثیر قرار می‌دهد. HTTP/2 که در ماه مِه سال ۲۰۱۵ میلادی راه‌اندازی شد، برای امنیت بهتر و بهبود تجربه‌ی آنلاین از طریق افزایش سرعت بارگذاری صفحه طراحی شده است. درحال‌حاضر، بیش از صدها میلیون وب‌گاه، یا ۴۰ درصد از همه‌ی وب‌گاه‌های اینترنت، با استفاده از پروتکل HTTP/2 اجرا می‌شوند.

در مجموع از هشت آسیب‌پذیری با شدت بالای HTTP/2، هفت مورد توسط جاناتان لونی از شرکت Netflix و یک مورد توسط Piotr Sikora از شرکت گوگل کشف شد. این آسیب‌پذیری به یک کلاینت اجازه می‌داد تا کد مدیریت صف سرور را سرریز کند. این آسیب‌پذیری ممکن است برای راه‌اندازی حملات منع سرویس علیه میلیون‌ها سرویس آنلاین و وب‌گاه که روی یک وب سرور با پیاده‌سازی آسیب‌پذیر HTTP/2 اجرا می‌شود، بهره‌برداری شود.

سناریوی حمله این‌گونه است که یک کلاینت مخرب از سرور آسیب‌پذیر هدف می‌خواهد تا پاسخی ارسال کند، اما پس از آن کلاینت از خواندن پاسخ خودداری می‌کند و آن را مجبور می‌کند تا هنگام پردازش درخواست‌ها حافظه و پردازنده را بیش از حد مصرف کند. Netflix در مشاوره‌نامه‌ای تشریح کرد که این آسیب‌پذیری‌ها به برخی از نشست‌های مخرب با پهنای باند کم اجازه می‌دهد تا از انجام کارهای اضافی توسط شرکت‌کنندگان در اتصال جلوگیری کند. این حملات احتمالاً منابع را درگیر می‌کنند، به گونه‌ای که سایر اتصال‌ها یا فرآیندها در همان دستگاه تحت تأثیر قرار گیرد یا خراب شود.

بیشتر آسیب‌پذیری‌هایی که در زیر نام برده شده است در لایه‌ی انتقال HTTP/2 کار می‌کنند:

 CVE-2019-9511 – HTTP/2 «Data Drible»

CVE-2019-9512 – HTTP/2 «Ping Flood»

CVE-2019-9513 – HTTP/2 «Resource Loop»

CVE-2019-9514 – HTTP/2 «Reset Flood»

CVE-2019-9515 – HTTP/2 «Settings Flood»

CVE-2019-9516 – HTTP/2 «۰-Length Headers Leak»

CVE-2019-9517 – HTTP/2 «Internl Data Buffering»

CVE-2019-9518 – HTTP/2 «Request Data/Header Flood»

برخی از آن‌ها به‌اندازه‌ی کافی کارآمد نیستند که یک سیستم نهایی واحد بتواند باعث خرابی در سرورهای مختلف شود. سایر حملات نیز کارآیی کمتری دارند. بااین‌حال، حتی حملات ناکارآمد نیز می‌توانند شرایط را برای حملات منع سرویس توزیع‌شده که شناسایی و مسدودسازی آن‌ها سخت است، فراهم ‌کنند.

شایان ذکر است که این آسیب‌پذیری‌ها تنها می‌توانند برای ایجاد شرایط منع سرویس مورد استفاده قرار گیرند و به مهاجمان اجازه نمی‌دهند محرمانگی یا یکپارچگی داده‌های موجود در سرورهای آسیب‌پذیر را در معرض خطر قرار دهند. گروه امنیتی Netflix که با گوگل و مرکز هماهنگی CERT همکاری می‌کند تا آسیب‌پذیری‌های HTTP/2 گزارش‌شده را افشا کند، هفت مورد از هشت آسیب‌پذیری موجود در پیاده‌سازی‌های سرور HTTP/2 را در ماه مِه سال ۲۰۱۹ میلادی کشف کرد و آن‌ها را به هر دوی این شرکت‌ها گزارش داد.

منبع

 

پست‌های مشابه

Leave a Comment