Yeni araştırmalar, HTTP/2 protokolündeki CONTINUATION çerçevesinin hizmet reddi (DoS) saldırıları gerçekleştirmek için kullanılabileceğini buldu.
Tekniğin kod adı verildi HTTP/2 DEVAM Flood Sorunu 25 Ocak 2024'te CERT Koordinasyon Merkezi'ne (CERT/CC) bildiren güvenlik araştırmacısı Bartek Nowotarski tarafından.
CERT/CC, 3 Nisan 2024 tarihli bir danışma belgesinde “Birçok HTTP/2 uygulaması, tek bir akış içinde gönderilen CONTINUATION çerçevelerinin miktarını gerektiği gibi sınırlandırmıyor veya sterilize etmiyor.” dedi.
“Hedef sunucuya paket gönderebilen bir saldırgan, bellekteki başlık listesine eklenmeyen ancak yine de sunucu tarafından işlenecek ve kodu çözülecek veya başlık listesine eklenecek bir DEVAM çerçeveleri akışı gönderebilir. yetersiz bellek (OOM) çökmesi.”
HTTP/1'de olduğu gibi, HTTP/2 de istekler ve yanıtlar içindeki başlık alanlarını kullanır. Bu başlık alanları, sırasıyla serileştirilen ve başlık bloklarına bölünen başlık listelerini içerebilir. Başlık blokları daha sonra blok parçalarına bölünür ve HEADER veya CONTINUATION çerçeveleri adı verilen çerçeveler içinde iletilir.
RFC 7540 belgelerinde “CONTINUATION çerçevesi (tip=0x9), bir dizi başlık bloğu parçasını sürdürmek için kullanılır” ifadesi yer alıyor.
“Önceki çerçeve aynı akışta olduğu ve END_HEADERS bayrağı ayarlanmamış bir HEADERS, PUSH_PROMISE veya CONTINUATION çerçevesi olduğu sürece herhangi bir sayıda CONTINUATION çerçevesi gönderilebilir.”
Başlıkları içeren son kare, uzak uç noktaya başlık bloğunun sonu olduğunu bildiren END_HEADERS bayrağı setine sahip olacaktır.
Nowotarski'ye göre CONTINUATION Flood, Ekim 2023'te ortaya çıkan Rapid Reset saldırısına kıyasla daha ciddi bir tehdit oluşturan, çeşitli HTTP/2 protokol uygulamalarında yer alan bir güvenlik açığı sınıfıdır.
Araştırmacı, “Tek bir makine (ve belirli durumlarda yalnızca tek bir TCP bağlantısı veya bir avuç çerçeve), sunucu çökmelerinden ciddi performans düşüşüne kadar değişen sonuçlarla birlikte sunucu kullanılabilirliğini bozma potansiyeline sahiptir” dedi. “Dikkate değer bir şekilde, saldırı oluşturan istekler HTTP erişim günlüklerinde görünmüyor.”
Güvenlik açığının özünde, HEADERS'ın ve DoS koşulunun önünü açan birden fazla CONTINUATION çerçevesinin yanlış işlenmesiyle ilgilidir.
Başka bir deyişle, bir saldırgan, güvenlik açığı bulunan bir uygulamayı kullanarak hedef sunucuya karşı yeni bir HTTP/2 akışı başlatabilir ve ayarlanmış bir END_HEADERS bayrağı olmadan HEADERS ve CONTINUATION çerçeveleri göndererek HTTP/2 sunucusunun ihtiyaç duyacağı hiç bitmeyen bir başlık akışı oluşturabilir. ayrıştırmak ve hafızada saklamak için.
Kesin sonuç uygulamaya bağlı olarak değişmekle birlikte, etkiler birkaç HTTP/2 çerçevesi gönderildikten sonra anlık çökmeden ve yetersiz bellek çökmesinden CPU tükenmesine ve dolayısıyla sunucu kullanılabilirliğini etkilemeye kadar değişir.
“RFC9113 […] Nowotarski, CONTINUATION çerçevelerinin doğru şekilde işlenmemesi durumunda ortaya çıkabilecek birçok güvenlik sorunundan bahsediyor.” dedi.
“Aynı zamanda, CONTINUATION çerçevelerinin son END_HEADERS bayrağı olmadan gönderildiği ve etkilenen sunucular üzerinde olumsuz etkileri olabilecek belirli bir durumdan da söz edilmiyor.”
Sorun, amphp/http (CVE-2024-2653), Apache HTTP Sunucusu (CVE-2024-27316), Apache Tomcat (CVE-2024-24549), Apache Trafik Sunucusu (CVE-2024-31309) gibi çeşitli projeleri etkilemektedir. Elçi proxy'si (CVE-2024-27919 ve CVE-2024-30255), Golang (CVE-2023-45288), h2 Rust sandığı, nghttp2 (CVE-2024-28182), Node.js (CVE-2024-27983) ve Tempesta FW (CVE-2024-2758).
Potansiyel tehditleri azaltmak için kullanıcıların etkilenen yazılımı en son sürüme yükseltmeleri önerilir. Bir düzeltmenin bulunmaması durumunda, sunucuda HTTP/2'yi geçici olarak devre dışı bırakmayı düşünmeniz önerilir.