一名研究人员披露了一种新的拒绝服务 (DoS) 攻击方法,他声称这种方法可能会造成严重威胁,甚至比去年利用漏洞发动互联网历史上最大的 DDoS 攻击的快速重置还要严重。
这种新的 DoS 攻击方法名为 HTTP/2 Continuation Flood,由 Bartek Nowotarski 发现,并于周三公开披露了其技术细节。
卡内基梅隆大学的CERT 协调中心( CERT/CC) 帮助协调受影响公司和开源项目的信息披露,该中心也发布了一份咨询报告。
HTTP/2 Continuation Flood被描述为影响许多 HTTP/2 协议实现的一类漏洞。这是由于对 HEADERS 和多个 CONTINUATION 帧的错误处理造成的,并且涉及发送不带 END_HEADERS 标志的 CONTINUATION 帧流来正确关闭请求。
“许多 HTTP/2 实现没有正确限制或清理单个流中发送的 CONTINUATION 帧的数量。可以向目标服务器发送数据包的攻击者可以发送 CONTINUATION 帧流,这些帧不会附加到内存中的标头列表中,但仍会由服务器处理和解码,或者将附加到标头列表中,从而导致输出内存(OOM)崩溃。”CERT/CC 解释道。
Nowotarski 表示,“利用该漏洞攻击可以实现多种后果,从发送几个 HTTP/2 帧后立即崩溃、内存不足崩溃到影响服务器可用性的 CPU 耗尽。”
研究人员将 HTTP/2 Continuation Flood与快速重置进行了比较,快速重置是 2023 年 10 月曝光的 HTTP/2 缺陷,当时 Google、Cloudflare 和 AWS 等科技巨头表示,追踪为 CVE-2023-44487 的漏洞已被利用来启动他们所见过的最大规模的 DDoS 攻击。
快速重置滥用了称为“流取消”的 HTTP/2 功能,涉及重复发送请求并立即取消该请求。它使更小的僵尸网络(Cloudflare 客户成为 20,000 台设备僵尸网络的目标)攻击可以造成重大破坏。
Nowotarski 表示,在许多情况下,Continuation Flood 攻击可能比 Rapid Reset 造成更大的威胁,因为单台机器有可能对使用 HTTP/2 的网站和 API 造成破坏。
此外,HTTP 访问日志中没有可见的请求,这使得检测更加困难。
研究人员指出:“如果服务器管理员不具备适当的 HTTP/2 知识,如果它在野外被利用,那么调试起来会非常困难。” “这是因为与此漏洞相关的恶意 HTTP 请求都没有被正确关闭。这些请求在服务器访问日志中不可见,并且由于大多数 HTTP/2 服务器缺乏高级帧分析,因此必须通过手动、繁琐的原始连接数据分析来处理。”
根据Cloudflare数据,HTTP/2流量占真实用户HTTP流量的60%以上。因此,研究人员表示,“我们可以假设互联网的很大一部分受到了易于利用的漏洞影响”。
各个 CVE 标识符已分配给受 HTTP/2 Continuation Flood影响的各种实现,包括 AMPHP (CVE-2024-2653)、Apache HTTP Server (CVE-2024-27316)、Apache Tomcat (CVE-2024-24549)、Apache Traffic服务器 (CVE-2024-31309)、Envoy(CVE-2024-27919 和 CVE-2024-30255)、Golang (CVE-2023-45288)、Node.js (CVE-2024-27983)、Nghttp2 (CVE-2024- 28182)和 Tempesta FW(CVE-2024-2758)。正在针对几个受影响的实施推出补丁和缓解措施。
CERT/CC 的通报还列出了 Red Hat、Suse Linux 和 Arista Networks 受到的影响。Arista 发布了一份公告,详细说明了对其产品的影响。
CERT/CC 通报还列出了几家已确认未受到影响的公司,以及数十家尚未确认或否认受到影响的供应商。
HTTP/2 Continuation Flood的负责任披露流程于 2024 年 1 月上旬启动。
转自会杀毒的单反狗,原文链接:https://mp.weixin.qq.com/s/RjG3dBpsWT_prfnobjrCyQ
暂无评论内容