14/08/19
Исследователи из Netflix и Google обнаружили ряд уязвимостей в нескольких реализациях протокола HTTP/2. Эксплуатация уязвимостей позволяет злоумышленникам вызвать отказ в обслуживании на необновленных серверах.
Проблемы затрагивают серверы, поддерживающие HTTP/2. Согласно статистике W3Techs, это составляет 40,0% от всех web-сайтов в интернете.
Всего было обнаружено восемь уязвимостей, которые могут быть проэксплуатированы удаленно. По словам исследователей, все векторы атак являются вариациями одной и той же схемы, когда клиент провоцирует ответ с уязвимого сервера, а затем отказывается его прочитать. В зависимости от возможности сервера управлять очередями, клиент способен использовать его чрезмерную память и ЦП для обработки входящих запросов.
Уязвимостям были присвоены следующие CVE: CVE-2019-9511, CVE-2019-9512, CVE-2019-9513, CVE-2019-9514, CVE-2019-9515, CVE-2019-9516, CVE-2019-9517 и CVE-2019-9518. Их эксплуатация позволяет атакующему запрашивать огромное количество данных по нескольким потокам, отправлять продолжительные пинги HTTP/2-пиру и потоки фреймов или заголовков без имен и значений на уязвимый сервер. В зависимости от того, как данные будут становиться в очередь и потреблять избыточные ресурсы ЦП, это может привести отказу в обслуживании.
Как сообщает координационный центр CERT, уязвимости затрагивают продукты таких поставщиков, как Amazon, Apache, Apple, Facebook, Microsoft, nginx, Node.js и Ubuntu. Некоторые компании уже исправили обнаруженные проблема, а также зафиксировали несколько безуспешных атак злоумышленников.
