| 0 |
|
На конференции Black Hat USA сотрудники фирмы Imperva поделились информацией о четырех серьёзных дефектах, выявленных ими в новейшей версии протокола HTTP, HTTP/2.
По данным W3Techs, на этот стандарт, призванный улучшить коммуникации браузеров с серверами, к настоящему времени уже перешло 8,7% (примерно 85 млн) веб-сайтов.
Углублённый анализ уязвимостей выявил четыре основных вектора атаки:
Slow read: заражённый клиент считывает ответы очень медленно. Эта атака аналогична Slowloris DDoS, которой подвергались финансовые организации в 2010 г. В этой инкарнации она осуществляется на прикладном уровне HTTP/2. Варианты этой уязвимости найдены в Apache, IIS, Jetty, NGINX и nghttp2.
HPACK Bomb: напоминает «zip bomb» — вредоносный архив, обваливающий при попытке его чтения программу или систему, и часто используемый для дезактивации антивирусного ПО. Безобидные с виду сообщения «взрываются», заполняя гигабайтами данных все ресурсы памяти серверов.
Dependency Cycle: использует дебютировавший с HTTP/2 новый механизм управления процессами вовлекая своими запросами систему в бесконечный цикл.
Stream Multiplexing Abuse: основан на дефектах безопасности в серверной реализации функций мультиплексирования потоков, приводит к отказу в предоставлении сервиса легальным клиентам.
«Публикация в течение короткого промежутка времени большого объёма нового кода создаёт прекрасную возможность для атакующих, — заявил Амичай Шульман (Amichai Shulman), технический директор и один из учредителей Imperva. — Печально видеть как известные проблемы HTTP 1.x вновь возникают в HTTP/2, но в этом нет ничего неожиданного. Как и для всех новых технологий, компаниям важно тщательно внедрять доступные средства безопасности для укрепления защиты уязвимого периметра, критических данных бизнеса и потребителей от непрерывно совершенствующихся кибер-угроз».
Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365
| 0 |
|
