Güvenlik araştırmacısı Bartek Nowotarski, HTTP/2 protokolünde HTTP/2 CONTINUATION Flood olarak bilinen yeni bir güvenlik açığı sınıfını ortaya çıkardı.
Bu saldırı vektörünün önemli bir tehdit olduğu, daha önce bilinen Hızlı Sıfırlama saldırısından potansiyel olarak daha tehlikeli olduğu kanıtlanıyor.
HTTP/2 CONTINUATION Flood, tek bir makinenin ve bazı durumlarda yalnızca tek bir TCP bağlantısının veya birkaç çerçevenin, sunucu işlemlerinde önemli kesintilere neden olarak çökmelere veya ciddi performans düşüşüne yol açmasına izin verir.
Saldırının Mekaniği
HTTP/2 protokolü, istemciler ve sunucular arasında birden fazla eşzamanlı istek ve yanıta izin verir. Ancak yeni keşfedilen bir güvenlik açığı nedeniyle şu anda inceleniyor.
Saldırı, HTTP/2'nin bir dizi çerçeve içinde büyük bir başlık bloğunun gönderilmesini sağlayan bir özelliği olan CONTINUATION çerçevelerinden yararlanıyor.
Saldırgan yeni bir HTTP/2 akışı başlatır ve END_HEADERS bayrağını ayarlamadan HEADERS ve CONTINUATION çerçevelerini gönderir. Bu, sunucunun ayrıştırmak ve depolamak zorunda kaldığı sonsuz bir başlık akışıyla sonuçlanır ve bellek kaynaklarını süresiz olarak tüketir.
Sunucuların sonsuz başlıklara karşı koruma mekanizmalarına sahip olduğu HTTP/1.1'den farklı olarak, HTTP/2 sunucuları, saldırı olağan savunmaları tetiklemediğinden savunmasız kalır.
DEVAM Tufanının en endişe verici yönlerinden biri gizliliğidir. Saldırı bir isteği tamamlamadığından (END_HEADERS bayrağı ayarlanmamıştır) HTTP erişim günlüklerinde iz bırakmaz.
Nowotarksi, bunun, sunucu yöneticilerinin saldırıya karşı kör oldukları ve genellikle devam eden bir saldırıyı işaret eden olağan gelen sunucu istekleri akışından hiçbir uyarı almadıkları anlamına geldiğini söyledi.
Çıkarımlar ve Endişeler
CONTINUATION Flood saldırısının basitliği ve düşük kaynak gereksinimi, onu özellikle endişe verici kılmaktadır.
Bazı durumlarda araştırmacılar, tek bir TCP bağlantısı üzerinden gönderilen minimum miktardaki verinin, bir sunucuyu çökertmeye yeterli olduğunu bulmuşlardır.
Bu durum, HTTP/2'ye dayanan web sitelerinin ve çevrimiçi hizmetlerin güvenliği konusunda önemli endişelere yol açmaktadır; çünkü saldırganlar, minimum çabayla hizmetleri kesintiye uğratabilir ve tespit edilemeyebilir.
CONTINUATION Flood güvenlik açığının keşfedilmesi, siber güvenlik topluluğu içinde bir eylem çağrısına yol açtı.
Sunucu yöneticileri ve yazılım geliştiricilerinin, bu güvenlik açığını azaltmak için HTTP/2 uygulamalarını gözden geçirmeleri ve gerekli yamaları veya güncellemeleri uygulamaları önerilir.
Ek olarak, bu tür gizli saldırıları tespit edebilen ve yöneticileri gerçek zamanlı olarak uyarabilen gelişmiş izleme araçlarına ihtiyaç vardır.
HTTP/2 DEVAMI Flood saldırısı, çevrimiçi altyapımızı korumak için gereken sürekli dikkatin ve ortaya çıkan siber güvenlik tehditlerinin önünde kalmanın öneminin bir hatırlatıcısıdır.
Is Your Network Under Attack? - Read CISO’s Guide to Avoiding the Next Breach - Download Free Guide