El nuevo ataque HTTP/2 DoS puede bloquear servidores web con una sola conexión

Iniciado por AXCESS, Abril 04, 2024, 03:47:49 PM

Tema anterior - Siguiente tema

0 Miembros y 2 Visitantes están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Abril 04, 2024, 03:47:49 PM
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Las vulnerabilidades del protocolo HTTP/2 recientemente descubiertas llamadas "CONTINUATION Flood" pueden provocar ataques de denegación de servicio (DoS), lo que provoca la caída de servidores web con una única conexión TCP en algunas implementaciones.

HTTP/2 es una actualización del protocolo HTTP estandarizado en 2015, diseñada para mejorar el rendimiento web mediante la introducción de marcos binarios para una transmisión de datos eficiente, multiplexación para permitir múltiples solicitudes y respuestas en una sola conexión y compresión de encabezados para reducir la sobrecarga.

Las nuevas vulnerabilidades de CONTINUATION Flood fueron descubiertas por el investigador Barket Nowotarski, quien dice que se relacionan con el uso de marcos de CONTINUATION HTTP/2, que no están limitados ni verificados adecuadamente en muchas implementaciones del protocolo.

Los mensajes HTTP/2 incluyen secciones de encabezado y final serializadas en bloques. Estos bloques se pueden fragmentar en múltiples cuadros para su transmisión, y los cuadros de CONTINUATION se utilizan para unir la transmisión.

La omisión de comprobaciones de fotogramas adecuadas en muchas implementaciones permite a los actores de amenazas enviar potencialmente una cadena extremadamente larga de fotogramas simplemente sin configurar el indicador 'END_HEADERS', lo que provoca interrupciones del servidor debido a fallos por falta de memoria o agotamiento de los recursos de la CPU a medida que estos fotogramas son procesados.

El investigador advirtió que las condiciones de falta de memoria podrían provocar fallas en el servidor usando una única conexión HTTP/2 TCP en algunas implementaciones.

"Out of Memory son probablemente los casos más aburridos y, al mismo tiempo, más graves. No tienen nada de especial: no tienen una lógica extraña, ni una condición de carrera interesante, etc.", explica Nowotarski.

Flujo interminable de cuadros de CONTINUATION que causan DoS
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Una alerta del Centro de Coordinación CERT (CERT-CC) publicada hoy enumera varios ID de CVE correspondientes a diferentes implementaciones HTTP/2 vulnerables a estos ataques.

Estas implementaciones permiten distintos niveles de ataques de denegación de servicio, incluidas pérdidas de memoria, consumo de memoria y agotamiento de la CPU, como se describe a continuación:

     CVE-2024-27983: Afecta al servidor HTTP/2 de Node.js. El envío de algunas tramas HTTP/2 puede provocar una pérdida de memoria debido a una condición de carrera, lo que puede provocar un posible DoS.

     CVE-2024-27919: Afecta al códec oghttp de Envoy. Consumo de memoria ilimitado debido a que no se restablece una solicitud cuando se exceden los límites del mapa de encabezado.

     CVE-2024-2758: Se relaciona con Tempesta FW. Sus límites de velocidad no previenen eficazmente los ataques de tramas de CONTINUATION vacías, lo que potencialmente permite DoS.

     CVE-2024-2653: Afecta a amphp/http. Recopila fotogramas de CONTINUATION en un búfer ilimitado, con el riesgo de que OOM se bloquee si se excede el límite de tamaño del encabezado.

     CVE-2023-45288: Afecta a los paquetes net/http y net/http2 de Go. Permite a un atacante enviar un conjunto arbitrariamente grande de encabezados, lo que provoca un consumo excesivo de CPU.

     CVE-2024-28182: Implica una implementación que utiliza la biblioteca nghttp2, que continúa recibiendo tramas de CONTINUATION, lo que genera un DoS sin una devolución de llamada de restablecimiento de transmisión adecuada.

     CVE-2024-27316: Afecta a Apache Httpd. Se puede enviar un flujo continuo de tramas CONTINUATION sin el indicador END_HEADERS establecido, lo que finaliza las solicitudes de forma incorrecta.

     CVE-2024-31309: Afecta al servidor de tráfico Apache. CONTINUATION HTTP/2 Un ataque DoS puede provocar un consumo excesivo de recursos en el servidor.

     CVE-2024-30255: Afecta a las versiones 1.29.2 o anteriores de Envoy. Vulnerable al agotamiento de la CPU debido a una avalancha de tramas de CONTINUATION, que consumen importantes recursos del servidor.

Impacto severo

Hasta ahora, según CERT-CC, los proveedores y bibliotecas HTTP/2 que han confirmado que se ven afectados por al menos uno de los CVE anteriores son Red Hat, SUSE Linux, Arista Networks, Apache HTTP Server Project, nghttp2, Node.js., AMPHP y el lenguaje de programación Go.

Nowotarski dice que el problema es más grave que el ataque 'HTTP/2 Rapid Reset' revelado en octubre pasado por los principales proveedores de servicios en la nube, que ha estado bajo explotación activa desde agosto de 2023.

"Dado que Cloudflare Radar estima que los datos de tráfico HTTP superan el 70% de toda la transferencia de Internet y la importancia de los proyectos afectados, creo que podemos suponer que gran parte de Internet se vio afectada por una vulnerabilidad fácil de explotar: en muchos casos, solo un TCP conexión fue suficiente para colapsar el servidor", advirtió Nowotarski.

"Las implementaciones que permiten OOM simplemente no limitaron el tamaño de la lista de encabezados creada utilizando marcos de CONTINUATION".

"Las implementaciones sin tiempo de espera del encabezado requirieron solo una conexión HTTP/2 para bloquear el servidor".

Adopción de HTTP/2 en los últimos 12 meses
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Además, el investigador advierte que el problema sería complejo para los administradores de servidores depurarlo y mitigarlo sin el conocimiento adecuado de HTTP/2.

Esto se debe a que las solicitudes maliciosas no serían visibles en los registros de acceso si el análisis de marcos avanzado no está habilitado en el servidor, lo cual en la mayoría de los casos no está habilitado.

Dado que los actores de amenazas comúnmente monitorean las técnicas DDoS recién descubiertas para usarlas en sus servicios y ataques estresantes, es fundamental actualizar los servidores y bibliotecas afectados antes de que las vulnerabilidades sean explotadas activamente.

Fuente:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Imprimir
Ir Arriba Páginas1
Acciones del Usuario