美國 CERT/CC、Google 與 Netflix 發現,許多 HTTP/2 實現含有服務阻斷攻擊漏洞,Amazon、Apache Traffic Server 專案、蘋果、臉書、Go 語言及微軟都受影響。
由卡內基美隆大學軟體工程協會所代管的電腦緊急應變協調中心(CERT/CC)在本周警告,有許多 HTTP/2 實現含有服務阻斷(DoS)攻擊漏洞,影響了 Amazon、Apache Traffic Server 專案、蘋果、臉書、Go 語言及微軟等眾多業者或專案。
HTTP/2 為新一代的 HTTP 傳輸協定標準,它是該協定自 1999 年發布 HTTP 1.1 之後的首個更新,主要採用由 Google 所開發的開放 SPDY 協定。與 HTTP 1.1 相較,它保留了 HTTP 1.1 的大多數語音,但使用新的資料編碼,可帶來更快的速度,而與 SPDY 協定相較,它改變了壓縮演算法並禁用許多加密套件。
CERT/CC 表示,由於 HTTP/2 需要比 HTTP/1.1 更多的資源來進行連結,在安全上,儘管它已經考慮了大多數可預期的行為,但如何減少實現時的異常行為依然引來許多缺陷。
CERT/CC 總計揭露了 8 個實現 HTTP/2 的服務阻斷漏洞,涵蓋 CVE-2019-9511~CVE-2019-9518,駭客只要利用許多串流向特定資源請求大量資料;或是持續向某個 HTTP/2 Peer 發送 Ping 指令;還是創造多個請求串流,並持續改變串流的優先順序;或者是開啟多個串流,並在每個串流中夾帶無效請求;或是開啟 HTTP/2 視窗,以讓 Peer 可以無限傳送,都能大量消耗系統資源,而單一系統的終止可能影響其它伺服器的運作,而造成阻斷服務攻擊。
與 CERT/CC 及 Google 共同揭露這些 HTTP/2 漏洞的 Netflix 則解釋,大多數的攻擊位於 HTTP/2 傳輸層,它在 TLS 傳輸層的上方,但低於請求概念,HTTP 早期的工具或功能都圍繞在請求,但並沒有太多針對 HTTP/2 連結所設計的工具,例如紀錄、限速或整治的,這也讓組織更難發現與封鎖惡意的 HTTP/2 連結,可能需要更多的工具來處理相關狀況。
整體而言,有許多的攻擊向量都是同一個主題的變種:惡意客戶端要求伺服器作某些會產生回應的事,但客戶端卻拒絕讀取回應。
在大多數的狀況下,立即的補救措施就是關閉對 HTTP/2 的支援,但它可能造成效能下滑,CERT/CC 則說,只要安裝 HTTP/2 實施者的更新程式就能解決。