آسیب‌پذیری روز صفر در پروتکل HTTP/2

آسیب‌پذیری روز صفر در پروتکل HTTP/2

تاریخ ایجاد

در اواخر ماه آگوست ۲۰۲۳ (شهریور ماه)، آسیب‌پذیری جدیدی در پروتکل HTTP/2 کشف شد که توسط مهاجمان برای انجام حملات DDoS با حجم بالا استفاده می‌شد. این آسیب‌پذیری که با شناسه CVE-2023-44487 و نام Rapid Reset شناخته می‌شود، باعث مصرف منابع و افزایش بار پردازشی سرورهای HTTP/2 شده و ممکن است سرویس‌دهی آن‌ها را مختل کند. آسیب‌پذیری مذکور تا اوایل ماه اکتبر ۲۰۲۳(مهر ماه) در وضعیت روز صفر بوده و هنوز راه‌حل کاملی برای آن ارائه نشده است.
این آسیب‌پذیری که حمله DDoS را به دنبال دارد، به دلیل وجود یک نقص در پیاده‌سازی پروتکل HTTP/2، به وجود آمده است. مهاجم تعداد زیادی درخواست HTTP با استفاده از فریم HEADERS ارسال می‌کند سپس با استفاده از فریم RST_STREAM، اتصال را قطع می‌کند. این الگو را به صورت تکراری و با سرعت بالا اجرا کرده تا حجم زیادی از ترافیک را به سمت سرورهای HTTP/2 هدایت کند. با قرار دادن چندین فریم HEADERS و RST_STREAM در یک اتصال، مهاجم می‌تواند باعث افزایش تعداد قابل توجهی درخواست در ثانیه و استفاده بالای CPU در سرورها شود که در نهایت منجر به درگیر کردن منابع می‌گردد.

توصیه‌های امنیتی
با توجه به اینکه هدف حملات DDoS، عمدتاً لایه ۷ شبکه است، بسیاری از شرکت‌های بزرگ فناوری اطلاعات، لایه ۷ خود را مورد حفاظت قرار داده و به‌روزرسانی‌های امنیتی منتشر کرده‌اند تا مشتریان خود را در برابر تأثیرات این حملات محافظت کنند. در حال حاضر، بهترین روش جهت جلوگیری از این حملات، استفاده از وصله های امنیتی موجود و تغییرات پیکربندی و سایر روشهای کاهش آسیب پذیری است که در ذیل به برخی از آن ها اشاره شده است:

  • اطمینان حاصل کنید که ابزارها و سرویس‌هایی امنیتی، جهت محافظت، شناسایی و پاسخ‌‌گویی به این حمله در سطح سرور و شبکه فعال باشند.
  • توصیه می‌شود از سرویس‌های محافظت از حملات DDoS (لایه 7) استفاده کرده و حدالامکان از WAF استفاده شود.
  • توصیه می‌شود از سرویس‌های محافظت از حملات DDoS برای DNS، ترافیک شبکه (لایه 3) و فایروال API استفاده گردد.
  • اطمینان حاصل کنید که سرویس‌های محافظت از حملات DDoS شما خارج از مرکز داده‌تان قرار دارد زیرا اگر ترافیک به مرکز داده شما برسد، کاهش مخاطره این حملات دشوار خواهد بود.
  • اطمینان حاصل کنید که وصله‌های منتشر شده برای وب‌سرور و سیستم‌عامل در همه سرورها و به‌روزرسانی‌ها اعمال شود.
  • به عنوان آخرین مورد، توصیه می‌شود جهت کاهش مخاطرات احتمالی،  HTTP/2  و  HTTP/3که در حال حاضر مورد استفاده بوده و احتمالاً آسیب‌پذیر است را به صورت موقت غیرفعال کنید. البته باید توجه داشت که اگر خواهان Downgrade نسخهها به HTTP/1 باشید ممکن است مشکلات عملکردی قابل توجهی را در پیش رو داشته باشید، لذا این مورد توصیه نمی‌شود.
  • استفاده از یک cloud-based DDoS L7 منیز می تواند مفید واقع شود.


منابع خبر:

[1] https://blog.cloudflare.com/zero-day-rapid-reset-http2-record-breaking-ddos-attack/
[2]https://cloud.google.com/blog/products/identity-security/google-cloud-mitigated-largest-ddos-attack…
[3] https://aws.amazon.com/security/security-bulletins/AWS-2023-005/
[4] https://www.nginx.com/blog/http-2-rapid-reset-attack-impacting-f5-nginx-products/
[5] https://www.cisa.gov/news-events/alerts/2023/10/10/http2-rapid-reset-vulnerability-cve-2023-44487
[6]https://msrc.microsoft.com/blog/2023/10/microsoft-response-to-distributed-denial-of-service-ddos-at…
[7] https://nvd.nist.gov/vuln/detail/CVE-2023-44487