Разделы

ПО Софт Телеком Инфраструктура Техника

В протоколе HTTPS/2 выявлена новая фундаментальная уязвимость. Она позволяет проводить мощнейшие DDoS-атаки

Исследователь по кибербезопасности раскрыл новый метод атаки типа «отказ в обслуживании», который, по его утверждению, может представлять серьезную угрозу, даже большую, чем Rapid reset. Уязвимость была использована в 2023 г. для запуска крупнейших DDoS-атак в истории интернета.

Фундаментальная уязвимость

Новый метод DoS-атаки под названием Continuation flood на HTTP/2 был обнаружен Бартеком Новотарски (Bartek Nowotarski), который 3 апреля 2024 г. публично раскрыл его технические подробности и опубликовал в своем блоге. При содействии Центра реагирования на компьютерным инцидентам (CERT) при Университете Карнеги-Меллона, который помог координировать раскрытие информации с пострадавшими компаниями и проектами с открытым исходным кодом, также опубликовал рекомендацию.

Ключевые различия DoS от DDoS заключаются в способе технической реализации. DoS-атаки идут от одного источника, а DDoS проводится с двух и более устройств. Распределенные атаки сложнее обнаружить и остановить. Хакеры могут использовать ботнет, чтобы многократно усилить атаку и нанести больший вред.

Continuation flood на HTTP/2 описывается как класс уязвимостей, затрагивающих многие реализации протокола HTTP/2. Это вызвано неправильной обработкой HEADERS и нескольких кадров CONTINUATION и включает отправку потока кадров без флага END_HEADERS для правильного закрытия запроса.

«Многие реализации HTTP/2 не ограничивают должным образом и не очищают количество кадров CONTINUATION, отправляемых в одном потоке. Злоумышленник, который может отправлять пакеты на целевой сервер, может отправить поток кадров CONTINUATION, которые не будут добавлены в список заголовков в памяти, но все равно будут обработаны и декодированы сервером или будут добавлены в список заголовков. Все это может привести к переполнению памяти сервера и, как следствие, его аварийному завершению работы», - пояснили специалисты CERT.

В протоколе HTTPS/2 выявлена новая фундаментальная уязвимость

По словам Новотарски, «результат зависит от реализации, но варьируется от мгновенного сбоя после отправки пары кадров HTTP/2, сбоя из-за нехватки памяти до перегрузки процессора, влияющей на доступность сервера». Исследователь сравнил HTTP/2 Continuation flood с Rapid reset , уязвимостью HTTP/2, которая обнаружилась в октябре 2023 г., когда такие технологические гиганты, как Google, Cloudflare и Amazon, заявили, что уязвимость, отслеживаемая как CVE-2023-44487, была использована для запуска крупнейшие DDoS-атаки, которые они когда-либо видели. Rapid reset злоупотребляет функцией HTTP/2, называемой «отменой потока», и предполагает повторную отправку запроса и немедленную его отмену. Это позволяет даже более мелким ботнетам вызывать значительные сбои. Новотарски добавил, что атака Continuation flood во многих случаях может представлять даже большую угрозу, чем Rapid reset, поскольку одна машина может вызвать сбои в работе веб-сайтов и API, использующих HTTP/2. Более того, в журналах HTTP-доступа нет видимых запросов, что затрудняет обнаружение.

Описание

Клиенты Cloudflare в 2023 г. были атакованы ботнетом из 20 тыс. устройств. По данным Cloudflare, трафик HTTP/2 составляет более 60% HTTP-трафика реальных пользователей. Таким образом, по словам Новотарски, «мы можем предположить, что большая часть интернета пострадала от уязвимости, которую легко использовать на апрель 2024 г.».

Как приручить джинна: Почему GenAI нужен науке и бизнесу, несмотря на сложный характер
Энергия ИИ

На апрель 2024 г. отдельные идентификаторы CVE были присвоены различным реализациям, на которые повлияла продолжающаяся спам HTTP/2. Разработчики этих проектов уже опубликовали обновления, направленные на устранение уязвимости. Включая AMPHP (CVE-2024-2653), Apache HTTP Server (CVE-2024-27316), Apache Tomcat (CVE-2024-24549), Apache Traffic. Сервер (CVE-2024-31309), Envoy (CVE-2024-27919 и CVE-2024-30255), Golang (CVE-2023-45288), Node.js (CVE-2024-27983), Nghttp2 (CVE-2024- 28182) и Tempesta FW (CVE-2024-2758). Для нескольких затронутых реализаций внедряются исправления и меры по устранению недостатков.

По данным CERT, также упоминаются Red Hat, Suse Linux и Arista Networks. В рекомендациях CERT также перечислено несколько компаний, которые подтвердили, что на них не оказывается влияние, а также десятки поставщиков, которые еще не подтвердили или не опровергли воздействие. Процесс ответственного раскрытия информации о продолжающемся флуде HTTP/2 начался в начале января 2024 г. В качестве временного решения рекомендуется отключить поддержку HTTP/2 на сервере, пока не будет применено соответствующее обновление. Это мера предосторожности поможет избежать потенциальных атак и сохранить стабильность работы серверов.

Как узнать, произошла ли DoS-атака?

Симптомы DoS-атаки могут напоминать незлонамеренные проблемы доступности, например технические проблемы с конкретной сетью или системным администратором, выполняющим обслуживание. Однако следующие симптомы могут указывать на DoS- или DDoS-атаку: во-первых - необычно низкая производительность сети (открытие файлов или доступ к веб-сайтам), во-вторых - недоступность определенного веб-сайта или невозможность зайти на любой сайт.

Лучшим способом обнаружения и идентификации DoS-атаки на 2024 г. является мониторинг и анализ сетевого трафика. Сетевой трафик можно контролировать с помощью брандмауэра или системы обнаружения вторжений. Администратор может даже настроить правила, которые создают оповещения при обнаружении аномальной нагрузки трафика и определяют источник трафика или отбрасывают сетевые пакеты, соответствующие определенным критериям.

Что делать руководству бизнеса

Если бизнесмен считает, что его бизнес подвергается систематическим DoS- или DDoS-атакам, важно обратиться за помощью к соответствующим техническим специалистам. Ему необходимо обратитесь к своему сетевому администратору, чтобы подтвердить, вызвано ли отключение услуги техническим обслуживанием или проблемой внутренней сети. Сетевые администраторы также могут отслеживать сетевой трафик, чтобы подтвердить наличие атаки, определить источник и смягчить ситуацию, применяя правила брандмауэра и, возможно, перенаправляя трафик через службу защиты от DoS.

Руководителю необходимо связаться с интернет-провайдером, чтобы узнать, есть ли сбой на его стороне или даже является ли его сеть целью атаки, а бизнес стал лишь невинной жертвой. В случае атаки не упускайте из виду другие хосты, активы или службы, находящиеся в вашей сети. Многие злоумышленники проводят DoS- или DDoS-атаки, чтобы отвлечь внимание от намеченной цели и использовать возможность для проведения вторичных атак на другие службы в сети.

Антон Денисенко