Các nhà nghiên cứu tại Netflix và Google đã phát hiện ra tổng cộng tám lỗ hổng từ chối dịch vụ (DoS) ảnh hưởng đến các triển khai HTTP/2 khác nhau, bao gồm từ các công ty công nghệ lớn như Amazon, Apple, Facebook và Microsoft.
Theo Netflix, nơi phối hợp tiết lộ các lỗ hổng với Google và CERT/CC, các lỗ hổng có liên quan đến cạn kiệt tài nguyên và chúng có thể bị khai thác để khởi động các cuộc tấn công DoS chống lại các máy chủ hỗ trợ HTTP/2.
HTTP / 2, phiên bản chính thứ hai của giao thức internet HTTP, được thiết kế để làm cho các ứng dụng nhanh hơn, đơn giản hơn và mạnh mẽ hơn.
Không có lỗ hổng bảo mật nào được các nhà nghiên cứu của Netflix và Google tìm thấy cho phép kẻ tấn công có được hoặc sửa đổi thông tin được bảo vệ.
“Thay vào đó, chúng cho phép một số lượng nhỏ các phiên độc hại băng thông thấp để ngăn người tham gia kết nối thực hiện công việc bổ sung. Các cuộc tấn công này có khả năng làm cạn kiệt tài nguyên để các kết nối hoặc quy trình khác trên cùng một máy cũng có thể bị ảnh hưởng hoặc sụp đổ (crash),” Netflix cho biết trong một tư vấn được công bố trên GitHub.
Danh sách các lỗ hổng trong triển khai HTTP/2
Các lỗ hổng được xác định bởi Jonathan Looney của Netflix:
CVE-2019-9511 — HTTP/2 “Data Dribble”
CVE-2019-9512 — HTTP/2 “Ping Flood”
CVE-2019-9513 — HTTP/2 “Resource Loop”
CVE-2019-9514 — HTTP/2 “Reset Flood”
CVE-2019-9515 — HTTP/2 “Settings Flood”
CVE-2019-9516 — HTTP/2 “0-Length Headers Leak”
CVE-2017-9517 — HTTP/2 “Internal Data Buffering”
Lỗ hổng được phát hiện bởi Piotr Sikora của Google
CVE-2019-9518 — HTTP/2 “Request Data/Header Flood
Tất cả các lỗ hổng là các biến thể của cùng một cuộc tấn công, trong đó một máy khách độc hại liên lạc với máy chủ trong nỗ lực để có được nó để tạo ra phản hồi. Tuy nhiên, khi máy khách từ chối đọc phản hồi, điều này sẽ kích hoạt mã quản lý hàng đợi máy chủ. Nếu hàng đợi không được xử lý đúng cách, máy chủ có thể sẽ tiêu tốn quá nhiều tài nguyên bộ nhớ và CPU, điều này có thể dẫn đến tình trạng DoS.
Danh sách các nhà cung cấp được xác nhận bị ảnh hưởng bao gồm Amazon, Apple, Facebook và Microsoft. Intel và MicroTik không bị ảnh hưởng, và có một danh sách 200 thực thể khác mà CERT / CC đã liệt kê tác động là “không xác định”.
Microsoft, Apple, Cloudflare, NGINX và Akamai đã phát hành các bản vá cho các lỗ hổng. Như một giải pháp thay thế, người dùng có thể vô hiệu hóa hỗ trợ HTTP/2 trên máy chủ của họ nếu có thể, nhưng Netflix chỉ ra rằng điều này có thể gây ra vấn đề về hiệu suất.
Theo Netflix, nơi phối hợp tiết lộ các lỗ hổng với Google và CERT/CC, các lỗ hổng có liên quan đến cạn kiệt tài nguyên và chúng có thể bị khai thác để khởi động các cuộc tấn công DoS chống lại các máy chủ hỗ trợ HTTP/2.
