这种新的 DoS 攻击方法名为 HTTP/2 Continuation Flood,由 Bartek Nowotarski 创造,并于周三公开表露了其技能细节(https://nowotarski.info/http2-continuation-flood-technical-details/)。
卡内基梅隆大学的CERT 折衷中央( CERT/CC) 帮助折衷受影响公司和开源项目的信息表露,该中央也发布了一份咨询报告(https://kb.cert.org/vuls/id/421644)。
HTTP/2 Continuation Flood被描述为影响许多 HTTP/2 协议实现的一类漏洞。这是由于对 HEADERS 和多个 CONTINUATION 帧的缺点处理造成的,并且涉及发送不带 END_HEADERS 标志的 CONTINUATION 帧流来精确关闭要求。
“许多 HTTP/2 实现没有精确限定或清理单个流中发送的 CONTINUATION 帧的数量。可以向目标做事器发送数据包的攻击者可以发送 CONTINUATION 帧流,这些帧不会附加到内存中的标头列表中,但仍会由做事器处理和解码,或者将附加到标头列表中,从而导致输出内存(OOM)崩溃。”CERT/CC 阐明道。
Nowotarski 表示,“利用该漏洞攻击可以实现多种后果,从发送几个 HTTP/2 帧后立即崩溃、内存不敷崩溃到影响做事器可用性的 CPU 耗尽。”
研究职员将 HTTP/2 Continuation Flood与快速重置进行了比较,快速重置是 2023 年 10 月曝光的 HTTP/2 毛病,当时 Google、Cloudflare 和 AWS 等科技巨子表示,追踪为 CVE-2023-44487 的漏洞已被利用来启动他们所见过的最大规模的 DDoS 攻击。
快速重置滥用了称为“流取消”的 HTTP/2 功能,涉及重复发送要求并立即取消该要求。它使更小的僵尸网络(Cloudflare 客户成为 20,000 台设备僵尸网络的目标)攻击可以造成重大毁坏。
Nowotarski 表示,在许多情形下,Continuation Flood 攻击可能比 Rapid Reset 造成更大的威胁,由于单台机器有可能对利用 HTTP/2 的网站和 API 造成毁坏。
此外,HTTP 访问日志中没有可见的要求,这使得检测更加困难。
研究职员指出:“如果做事器管理员不具备适当的 HTTP/2 知识,如果它在野外被利用,那么调试起来会非常困难。” “这是由于与此漏洞干系的恶意 HTTP 要求都没有被精确关闭。这些要求在做事器访问日志中不可见,并且由于大多数 HTTP/2 做事器缺少高等帧剖析,因此必须通过手动、繁琐的原始连接数据剖析来处理。”
根据Cloudflare数据,HTTP/2流量占真实用户HTTP流量的60%以上。因此,研究职员表示,“我们可以假设互联网的很大一部分受到了易于利用的漏洞影响”。
各个 CVE 标识符已分配给受 HTTP/2 Continuation Flood影响的各种实现,包括 AMPHP (CVE-2024-2653)、Apache HTTP Server (CVE-2024-27316)、Apache Tomcat (CVE-2024-24549)、Apache Traffic做事器 (CVE-2024-31309)、Envoy(CVE-2024-27919 和 CVE-2024-30255)、Golang (CVE-2023-45288)、Node.js (CVE-2024-27983)、Nghttp2 (CVE-2024- 28182)和 Tempesta FW(CVE-2024-2758)。正在针对几个受影响的履行推出补丁和缓解方法。
CERT/CC 的通报还列出了 Red Hat、Suse Linux 和 Arista Networks 受到的影响。Arista 发布了一份公告(https://www.arista.com/en/support/advisories-notices/security-advisory/19221-security-advisory-0094),详细解释了对其产品的影响。
CERT/CC 通报还列出了几家已确认未受到影响的公司,以及数十家尚未确认或否认受到影响的供应商。
HTTP/2 Continuation Flood的负任务表露流程于 2024 年 1 月上旬启动。
参考链接:https://www.securityweek.com/new-http-2-dos-attack-potentially-more-severe-than-record-breaking-rapid-reset/
