پیادهسازیهای مختلف HTTP/2، آخرین نسخهی پروتکل شبکهی HTTP که در برابر آسیبپذیریهای امنیتی متعدد آسیبپذیر است، محبوبترین نرمافزار وب سرور از جمله آپاچی، مایکروسافت IIS و NGINX را تحت تأثیر قرار میدهد. HTTP/2 که در ماه مِه سال ۲۰۱۵ میلادی راهاندازی شد، برای امنیت بهتر و بهبود تجربهی آنلاین از طریق افزایش سرعت بارگذاری صفحه طراحی شده است. درحالحاضر، بیش از صدها میلیون وبگاه، یا ۴۰ درصد از همهی وبگاههای اینترنت، با استفاده از پروتکل HTTP/2 اجرا میشوند.
در مجموع از هشت آسیبپذیری با شدت بالای HTTP/2، هفت مورد توسط جاناتان لونی از شرکت Netflix و یک مورد توسط Piotr Sikora از شرکت گوگل کشف شد. این آسیبپذیری به یک کلاینت اجازه میداد تا کد مدیریت صف سرور را سرریز کند. این آسیبپذیری ممکن است برای راهاندازی حملات منع سرویس علیه میلیونها سرویس آنلاین و وبگاه که روی یک وب سرور با پیادهسازی آسیبپذیر HTTP/2 اجرا میشود، بهرهبرداری شود.
سناریوی حمله اینگونه است که یک کلاینت مخرب از سرور آسیبپذیر هدف میخواهد تا پاسخی ارسال کند، اما پس از آن کلاینت از خواندن پاسخ خودداری میکند و آن را مجبور میکند تا هنگام پردازش درخواستها حافظه و پردازنده را بیش از حد مصرف کند. Netflix در مشاورهنامهای تشریح کرد که این آسیبپذیریها به برخی از نشستهای مخرب با پهنای باند کم اجازه میدهد تا از انجام کارهای اضافی توسط شرکتکنندگان در اتصال جلوگیری کند. این حملات احتمالاً منابع را درگیر میکنند، به گونهای که سایر اتصالها یا فرآیندها در همان دستگاه تحت تأثیر قرار گیرد یا خراب شود.
بیشتر آسیبپذیریهایی که در زیر نام برده شده است در لایهی انتقال HTTP/2 کار میکنند:
CVE-2019-9511 – HTTP/2 «Data Drible»
CVE-2019-9512 – HTTP/2 «Ping Flood»
CVE-2019-9513 – HTTP/2 «Resource Loop»
CVE-2019-9514 – HTTP/2 «Reset Flood»
CVE-2019-9515 – HTTP/2 «Settings Flood»
CVE-2019-9516 – HTTP/2 «۰-Length Headers Leak»
CVE-2019-9517 – HTTP/2 «Internl Data Buffering»
CVE-2019-9518 – HTTP/2 «Request Data/Header Flood»
برخی از آنها بهاندازهی کافی کارآمد نیستند که یک سیستم نهایی واحد بتواند باعث خرابی در سرورهای مختلف شود. سایر حملات نیز کارآیی کمتری دارند. بااینحال، حتی حملات ناکارآمد نیز میتوانند شرایط را برای حملات منع سرویس توزیعشده که شناسایی و مسدودسازی آنها سخت است، فراهم کنند.
شایان ذکر است که این آسیبپذیریها تنها میتوانند برای ایجاد شرایط منع سرویس مورد استفاده قرار گیرند و به مهاجمان اجازه نمیدهند محرمانگی یا یکپارچگی دادههای موجود در سرورهای آسیبپذیر را در معرض خطر قرار دهند. گروه امنیتی Netflix که با گوگل و مرکز هماهنگی CERT همکاری میکند تا آسیبپذیریهای HTTP/2 گزارششده را افشا کند، هفت مورد از هشت آسیبپذیری موجود در پیادهسازیهای سرور HTTP/2 را در ماه مِه سال ۲۰۱۹ میلادی کشف کرد و آنها را به هر دوی این شرکتها گزارش داد.