Una nuova minaccia che mette a rischio la disponibilità dei server e dei servizi online è stata scoperta: si tratta di una vulnerabilità nel protocollo HTTP/2, denominata “Continuation Flood”, che potrebbe consentire attacchi di tipo Denial of Service (DoS).
La vulnerabilità riguarda l’implementazione dei frame CONTINUATION, che sono utilizzati per la frammentazione dei blocchi di dati trasmessi tra client e server per migliorare le prestazioni di trasmissione. Tuttavia, un difetto nell’implementazione permette agli attaccanti di inviare un numero illimitato di questi frame, sovraccaricando il server e causando un esaurimento delle risorse, come memoria e CPU.
Questa vulnerabilità colpisce diverse implementazioni del protocollo, tra cui Node.js HTTP/2 server, GO net/http e Apache HTTP Server. Prodotti come Apache HTTP Server, Apache Traffic Server, Node.js, nghttp2, Envoy Proxy, Tempesta FW, amphp/http, GO net/http e net/http2 sono tra quelli interessati dalla vulnerabilità.
La scoperta di questa vulnerabilità è stata resa nota da una ricerca condotta dal Software Engineering Institute della Carnegie Mellon University. Gli esperti avvertono che questa minaccia è particolarmente pericolosa perché può essere sfruttata con relativa facilità, con una sola macchina in grado di causare un attacco DoS significativo.
“Una sola macchina (e, in alcuni casi, una singola connessione TCP o una manciata di frame) ha il potenziale di interrompere la disponibilità di un server, con conseguenze che vanno dal crash delle macchine alla riduzione sostanziale delle performance”, ha spiegato Bartker Nowotarski, il ricercatore che per primo ha individuato il problema.
I ricercatori invitano gli utenti ad aggiornare il prima possibile i loro software e le librerie vulnerabili per proteggersi da questa minaccia emergente. Con il traffico HTTP/2 che rappresenta una parte significativa del traffico online, la presenza di questa vulnerabilità solleva serie preoccupazioni per la sicurezza su Internet.
Il CSIRT Italia consiglia di verificare la disponibilità di aggiornamenti di sicurezza per i prodotti che utilizzano il protocollo HTTP/2. In mancanza di aggiornamenti specifici, gli amministratori dovrebbero monitorare attentamente il traffico HTTP/2 per individuare utilizzi anomali di memoria o CPU. Si consiglia inoltre di abilitare l’analisi avanzata dei frame e di utilizzare strumenti aggiuntivi per l’analisi del traffico per individuare eventuali attacchi. Tuttavia, si raccomanda di utilizzare queste modalità solo per l’analisi e la definizione di contromisure, poiché possono aumentare il carico di lavoro del sistema.
https://www.csirt.gov.it/contenuti/http-2-continuation-flood-bl01-240408-csirt-ita
https://www.securityinfo.it/2024/04/08/una-vulnerabilita-http-2-espone-i-server-ad-attacchi-dos/
