Siber Muhbir

Tekniğin kod adı HTTP/2 DEVAMI Flood 25 Ocak 2024'te sorunu CERT Koordinasyon Merkezi'ne (CERT/CC) bildiren güvenlik araştırmacısı Bartek Nowotarski.

CERT/CC, 3 Nisan 2024'te bir danışma belgesinde, "Birçok HTTP/2 uygulaması, tek bir akış içinde gönderilen DEVAMLILIK çerçevelerinin miktarını düzgün bir şekilde sınırlamaz veya temizlemez" dedi.

"Hedef sunucuya paket gönderebilen bir saldırgan, bellekteki başlık listesine eklenmeyecek, ancak yine de sunucu tarafından işlenecek ve kodu çözülecek veya başlık listesine eklenecek ve yetersiz bellek (OOM) çökmesine neden olacak bir DEVAMLILIK çerçeveleri akışı gönderebilir."

HTTP/1'de olduğu gibi, HTTP/2 de istekler ve yanıtlar içinde başlık alanlarını kullanır. Bu başlık alanları, sırayla serileştirilen ve başlık bloklarına bölünen başlık listeleri içerebilir. Başlık blokları daha sonra blok parçalarına bölünür ve BAŞLIKLAR veya DEVAMLILIK çerçeveleri olarak adlandırılan çerçeveler içinde iletilir.

RFC 7540 belgelerinde "DEVAMLILIK çerçevesi (type=0x9), bir dizi başlık bloğu parçasına devam etmek için kullanılır" yazıyor.

"Önceki kare aynı akışta olduğu ve END_HEADERS bayrağı ayarlanmamış bir HEADERS, PUSH_PROMISE veya CONTINUE çerçevesi olduğu sürece herhangi bir sayıda DEVAMLILIK çerçevesi gönderilebilir."

Üst bilgileri içeren son çerçeve, uzak uç noktaya üst bilgi bloğunun sonu olduğunu bildiren END_HEADERS bayrağı ayarına sahip olur.

Nowotarski'ye göre DEVAMLILIK Flood, Ekim 2023'te ortaya çıkan Hızlı Sıfırlama saldırısına kıyasla daha ciddi bir tehdit oluşturan birkaç HTTP/2 protokol uygulamasındaki bir güvenlik açığı sınıfıdır.

Araştırmacı, "Tek bir makine (ve bazı durumlarda, yalnızca tek bir TCP bağlantısı veya bir avuç çerçeve), sunucu çökmelerinden önemli performans düşüşüne kadar değişen sonuçlarla sunucu kullanılabilirliğini bozma potansiyeline sahiptir" dedi. "Dikkat çekici bir şekilde, saldırı teşkil eden istekler HTTP erişim günlüklerinde görünmüyor."

Güvenlik açığı, özünde, HEADERS'ın yanlış işlenmesi ve bir DoS koşulunun önünü açan birden çok DEVAMLILIK çerçevesi ile ilgilidir.

Başka bir deyişle, bir saldırgan güvenlik açığı bulunan bir uygulama kullanarak hedef sunucuya karşı yeni bir HTTP/2 akışı başlatabilir ve HEADERS ve CONTINUITY çerçevelerini ayarlanmış bir END_HEADERS bayrağı olmadan göndererek HTTP/2 sunucusunun ayrıştırması ve bellekte depolaması gereken hiç bitmeyen bir üst bilgi akışı oluşturabilir.

Kesin sonuç uygulamaya bağlı olarak değişmekle birlikte, etkiler birkaç HTTP/2 çerçevesi gönderdikten sonra anlık çökme ve yetersiz bellek çökmesinden CPU tükenmesine kadar değişir ve böylece sunucu kullanılabilirliğini etkiler.

"RFC 9113 [...] DEVAMLILIK çerçevelerinin doğru şekilde kullanılmaması durumunda ortaya çıkabilecek birden fazla güvenlik sorunundan bahsediyor," dedi Nowotarski.

"Aynı zamanda, etkilenen sunucularda yankı uyandırabilecek son END_HEADERS bayrağı olmadan DEVAMLILIK çerçevelerinin gönderildiği belirli bir durumdan bahsetmiyor."

Sorun, amphp/http (CVE-2024-2653), Apache HTTP Sunucusu (CVE-2024-27316), Apache Tomcat (CVE-2024-24549), Apache Trafik Sunucusu (CVE-2024-31309), Elçi proxy'si (CVE-2024-27919 ve CVE-2024-30255), Golang (CVE-2023-45288), h2 Rust sandığı, nghttp2 (CVE-2024-28182), Node.js (CVE-2024-27983) ve Tempesta FW (CVE-2024-2758) gibi çeşitli projeleri etkilemektedir.

Kullanıcıların, olası tehditleri azaltmak için etkilenen yazılımı en son sürüme yükseltmeleri önerilir. Bir düzeltme yoksa, sunucuda HTTP/2'yi geçici olarak devre dışı bırakmayı düşünmeniz önerilir.

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.