Ön uç proxy sunucuları ve arka uç uygulama sunucuları arasındaki tutarsız ayrıştırma davranışlarından yararlanan sofistike bir HTTP talep kaçakçılığı saldırısı.
Bu yeni keşfedilen teknik, yerleşik güvenlik kontrollerini atlamak ve web uygulamalarına yetkisiz ikincil istekleri enjekte etmek için kötü biçimlendirilmiş kanallı transfer kodlama uzantılarından yararlanır.
Key Takeaways
1. Exploits malformed HTTP chunked encoding to create front-end/back-end parsing discrepancies.
2. Bypasses security controls by injecting hidden secondary requests.
3. Apply patches and migrate to the HTTP/2 protocol.
Saldırı, farklı sunucuların belirsiz istek biçimlendirmesini tutarsız bir şekilde yorumladığı HTTP/1.1 protokol uygulamasında temel bir güvenlik açığını hedefliyor.
Saldırganlar, web uygulaması güvenlik duvarlarını (WAF), içerik dağıtım ağlarını (CDN’ler) atlatmak için bu ayrıştırma tutarsızlıklarını kullanabilir ve potansiyel olarak hassas arka uç kaynaklarına yetkisiz erişim elde eder.
HTTP Kaçakçılık Güvenlik Açığı
Imperva, saldırı mekanizmasının HTTP/1.1’in kanallı aktarım kodlama özelliğine odaklandığını ve bu da mesaj gövdelerinin aktarma kodlama: yığın başlığı kullanılarak segmentlere iletilmesine izin verdiğini bildirdi.
RFC 9112 spesifikasyonlarına göre, her bir yığın, boyutu onaltılık formatta içeren bir başlık ve ardından noktalı virgülle ön eklenmiş isteğe bağlı yığın uzantıları içerir.
Araştırmacılar, saldırganların uygun uzatma adları olmadan çıplak noktalı virgül içeren hatalı biçimlendirilmiş başlıklar göndererek yığın uzatma ayrıştırmasını manipüle edebileceğini keşfettiler.
Bu, ön uç sistemlerinin hatalı formda sözdizimini arka uç sunucularından farklı şekilde yorumladığı kritik bir ayrıştırma tutarsızlık yaratır.
Saldırı dizisi şu deseni takip eder: Saldırgan, bir noktalı virgülle biten ancak uzatma adı yoktur, ön uç ayrıştırıcının tüm diziyi tek bir istek olarak ele almasına neden olurken, arka uç ayrıştırıcı, semisondan sonra yeni çizgiyi yığın başlığının sonunu işaretleyerek yorumlar.
Kaçak Talep
Bu, saldırganların, arka uç sistemlerinin meşru ayrı istekler olarak işleyerek ön uç güvenlik doğrulamasını etkili bir şekilde atlayan sıfır uzunluktaki parçalardan sonra ikincil HTTP isteklerini yerleştirmesine izin verir.
Güvenlik açığı, HTTP/1.1’in doğal tasarım zayıflıklarından, özellikle metin tabanlı ayrıştırmaya güvenmesi ve içerik uzunluğu başlıkları, aktarma kodlama özellikleri veya sınırlayıcılar yoluyla mesaj sınırlarını ifade etmek için çoklu yöntemlerden kaynaklanmaktadır.
Birçok sunucu uygulaması, katı RFC uyumluluğu üzerindeki uyumluluğa öncelik verir ve bu da sömürülebilir tutarsızlıklar yaratan kötü biçimlendirilmiş taleplerin yumuşak ayrıştırılmasına yol açar.
Güvenlik uzmanları, etkilenen sistemlere kapsamlı yamaların konuşlandırıldığını vurgulamaktadır ve kuruluşlar mevcut yazılım sürümlerini bu saldırı vektörüne karşı tam koruma almıştır.
Bununla birlikte, en etkili uzun vadeli azaltma, belirsiz ayrıştırma senaryolarını ortadan kaldıran ve kaçakçılık saldırılarını sağlayan ikili çerçeveleme mekanizmalarını kullanan HTTP/2’ye göç etmeyi içerir.
Bu, protokol düzeyinde güvenlik hususlarının kritik önemini güçlendirir ve mevcut koruyucu önlemlere rağmen sofistike baypas tekniklerini sağlamaya devam eden HTTP/1.1’in temel güvenlik açıklarını vurgular.
Safely detonate suspicious files to uncover threats, enrich your investigations, and cut incident response time. Start with an ANYRUN sandbox trial →