Güvenlik araştırmacısı Bartek Nowotarski’ye göre, HTTP2’yi destekleyen popüler web sunucularındaki yaygın bir yanlış yapılandırma, bu sunucuları düşük çaba gerektiren hizmet reddi saldırılarına maruz bırakıyor.
Nowotarski’nin Devam Sel saldırısı olarak adlandırdığı şey, HTTP2 protokol uygulamalarındaki bir güvenlik açıkları sınıfıdır.
“Tek bir makine (ve belirli durumlarda yalnızca tek bir TCP bağlantısı veya bir avuç çerçeve), sunucu çökmelerinden ciddi performans düşüşüne kadar değişen sonuçlarla birlikte sunucu kullanılabilirliğini bozma potansiyeline sahiptir” diye yazdı.
Nowotarski, saldırıların “HTTP erişim günlüklerinde görünmediğini” ekledi.
Devam çerçevesi, başlık bloklarını birden çok çerçeveye bölmek için kullanılır ve sorun, bir HTTP2 uygulamasının tek bir akıştaki Devam çerçevelerinin sayısını sınırlamaması durumunda ortaya çıkar.
“Hedef sunucuya paket gönderebilen bir saldırgan, bellekteki başlık listesine eklenmeyen ancak yine de sunucu tarafından işlenecek ve kodu çözülecek veya başlık listesine eklenecek bir Devam çerçeveleri akışı gönderebilir. Carnegie-Mellon CERT, saldırının bu açıklamasında yetersiz bellek (OOM) çökmesi” teklifinde bulundu.
Nowotarski, bir saldırının sonucunun uygulamaya bağlı olduğunu ancak “birkaç HTTP/2 çerçevesi gönderildikten sonra anında çökme” ve CPU tükenmesini içerdiğini söyledi.
Etkilenen yazılımlar arasında Apache Tomcat (CVE-2023-38709), Golang (CVE-2023-452880), node.js ve diğerleri yer alıyor.
Düzeltmeler mevcut değilse Nowotarski, sistem yöneticilerine HTTP2 desteğini devre dışı bırakmalarını tavsiye ediyor.
HTTP2, HTTP protokolünün bir güncellemesidir ve 2015’ten beri kullanılmaktadır.