8 Cacat Implementasi HTTP / 2 Baru Mengekspos Website ke Serangan DoS

Berbagai implementasi HTTP / 2, versi terbaru dari protokol jaringan HTTP, telah ditemukan rentan terhadap beberapa kerentanan keamanan yang memengaruhi perangkat lunak server web paling populer, termasuk Apache, IIS Microsoft, dan NGINX.

Diluncurkan pada Mei 2015, HTTP / 2 telah dirancang untuk keamanan yang lebih baik dan meningkatkan pengalaman online dengan mempercepat pemuatan halaman. Saat ini, lebih dari ratusan juta situs web, atau sekitar 40 persen dari semua situs di Internet, berjalan menggunakan protokol HTTP / 2.

Sebanyak delapan keparahan tinggi Kerentanan HTTP / 2, tujuh ditemukan oleh Jonathan Looney dari Netflix dan satu oleh Piotr Sikora dari Google, ada karena kelelahan sumber daya ketika menangani input berbahaya, yang memungkinkan klien untuk membebani kode manajemen antrian server.

Kerentanan dapat dieksploitasi untuk meluncurkan serangan Denial of Service (DoS) terhadap jutaan layanan online dan situs web yang berjalan pada server web dengan implementasi HTTP / 2 yang rentan, menjadikannya offline untuk semua orang.

Skenario serangan, dalam istilah awam, adalah bahwa klien jahat meminta server rentan yang ditargetkan untuk melakukan sesuatu yang menghasilkan respons, tetapi kemudian klien menolak untuk membaca respons, memaksanya untuk mengkonsumsi memori dan CPU yang berlebihan saat memproses permintaan.

"Kelemahan ini memungkinkan sejumlah kecil sesi berbahaya bandwidth rendah untuk mencegah peserta koneksi melakukan pekerjaan tambahan. Serangan ini cenderung menghabiskan sumber daya sehingga koneksi atau proses lain pada mesin yang sama juga dapat terkena dampak atau crash," Netflix menjelaskan dalam penasihat dirilis Selasa.

Sebagian besar kerentanan yang tercantum di bawah berfungsi di lapisan transportasi HTTP / 2:

1. CVE-2019-9511 – HTTP / 2 "Data Dribble"
2. CVE-2019-9512 – HTTP / 2 "Ping Flood"
3. CVE-2019-9513 – HTTP / 2 "Resource Loop"
4. CVE-2019-9514 – HTTP / 2 "Reset Flood"
5. CVE-2019-9515 – HTTP / 2 "Pengaturan Banjir"
6. CVE-2019-9516 – HTTP / 2 "0-Length Headers Leak"
7. CVE-2017-9517 – HTTP / 2 "Penyangga Data Internal"
8. CVE-2019-9518 – HTTP / 2 "Data Permintaan / Banjir Header"

"Beberapa cukup efisien sehingga sistem ujung tunggal berpotensi menyebabkan kekacauan pada banyak server. Serangan lain kurang efisien; namun, serangan yang bahkan kurang efisien dapat membuka pintu bagi serangan DDoS yang sulit dideteksi dan diblokir," negara penasehat .

Namun, perlu dicatat bahwa kerentanan hanya dapat digunakan untuk menyebabkan kondisi DoS dan tidak memungkinkan penyerang berkompromi dengan kerahasiaan atau integritas data yang terkandung dalam server yang rentan.

Tim keamanan Netflix, yang bekerja sama dengan Google dan Pusat Koordinasi CERT untuk mengungkapkan kelemahan HTTP / 2 yang dilaporkan, menemukan tujuh dari delapan kerentanan dalam beberapa implementasi server HTTP / 2 pada Mei 2019 dan melaporkannya secara bertanggung jawab kepada masing-masing vendor dan pengelola yang terpengaruh .

Menurut CERT, vendor yang terkena dampak termasuk NGINX, Apache, H2O, Nghttp2, Microsoft (IIS), Cloudflare, Akamai, Apple (SwiftNIO), Amazon, Facebook (Proxygen), Node.js, dan proxy Utusan, banyak di antaranya telah merilis patch keamanan dan saran.