Várias implementações do HTTP / 2, a versão mais recente do protocolo de rede HTTP, foram encontradas vulneráveis a várias vulnerabilidades de segurança que afetam o software de servidor da Web mais popular, incluindo o Apache, o IIS da Microsoft e o NGINX.
Lançado em maio de 2015, o HTTP / 2 foi projetado para melhorar a segurança e melhorar a experiência on-line, acelerando as cargas de página. Hoje, centenas de milhões de sites, ou cerca de 40% de todos os sites na Internet, estão sendo executados usando o protocolo HTTP / 2.
Um total de oito vulnerabilidades HTTP / 2 de alta gravidade, sete descobertas por Jonathan Looney da Netflix e uma por Piotr Sikora do Google, existe devido ao esgotamento de recursos ao manipular entradas maliciosas, permitindo que um cliente sobrecarregue o código de gerenciamento de filas do servidor.
As vulnerabilidades podem ser exploradas para lançar ataques de negação de serviço (DoS) contra milhões de serviços online e sites que estão sendo executados em um servidor da Web com a implementação vulnerável do HTTP / 2, colocando-os offline para todos.
O cenário de ataque, em termos leigos, é que um cliente malicioso pede a um servidor vulnerável para fazer algo que gera uma resposta, mas o cliente se recusa a ler a resposta, forçando-a a consumir memória e CPU excessivas durante o processamento de solicitações.
‘Essas falhas permitem que um pequeno número de sessões mal-intencionadas de baixa largura de banda impeça os participantes de fazerem trabalho adicional. Esses ataques provavelmente esgotarão recursos de modo que outras conexões ou processos na mesma máquina também sejam afetados ou travados’, explica a Netflix. Comunicado divulgado terça-feira.
A maioria das vulnerabilidades listadas abaixo funciona na camada de transporte HTTP / 2:
- CVE-2019-9511 – HTTP / 2 ‘Drible de Dados’
- CVE-2019-9512 – HTTP / 2 ‘Ping Flood’
- CVE-2019-9513 – HTTP / 2 ‘Loop de recurso’
- CVE-2019-9514 – HTTP / 2 ‘Redefinir Inundação’
- CVE-2019-9515 – HTTP / 2 ‘Definições de inundação’
- CVE-2019-9516 – HTTP / 2 ‘vazamento de cabeçalhos de 0-comprimentos’
- CVE-2017-9517 – HTTP / 2 ‘buffer de dados interno’
- CVE-2019-9518 – HTTP / 2 ‘Solicitar Dados / Fluxo de Cabeçalhos’
‘Alguns são eficientes o suficiente para que um único sistema terminal possa potencialmente causar estragos em vários servidores. Outros ataques são menos eficientes; no entanto, ataques ainda menos eficientes podem abrir as portas para ataques DDoS que são difíceis de detectar e bloquear’, afirma o comunicado.
No entanto, deve-se notar que as vulnerabilidades só podem ser usadas para causar uma condição de DoS e não permitem que invasores comprometam a confidencialidade ou a integridade dos dados contidos nos servidores vulneráveis.
A equipe de segurança da Netflix, que se uniu ao Google e CERT Coordination Center para divulgar as falhas HTTP / 2, descobriu sete das oito vulnerabilidades em várias implementações de servidores HTTP / 2 em maio de 2019 e as reportou de forma responsável a cada um dos fornecedores e mantenedores afetados .
De acordo com a CERT, os fornecedores afetados incluem NGINX, Apache, H2O, Nghttp2, Microsoft (IIS), Cloudflare, Akamai, Apple (SwiftNIO), Amazon, Facebook (Proxygen), Node.js e Envoy, muitos dos quais já lançaram Patches e avisos de segurança.
Tem algo a dizer sobre este artigo? Comente abaixo para sabermos sua opinião.
E Não deixe de visitar: https://www.deltaservers.com.br/ para acompanhar todas as novidades que preparamos para você!
