● 点击↑蓝字关注我们,获取更多安全风险通告
|
漏洞概述 |
|||
|
漏洞名称 |
HTTP/2 协议拒绝服务漏洞 |
||
|
漏洞编号 |
QVD-2023-24046、CVE-2023-44487 |
||
|
公开时间 |
2023-10-10 |
影响对象数量级 |
千万级 |
|
奇安信评级 |
高危 |
CVSS 3.1分数 |
7.5 |
|
威胁类型 |
拒绝服务 |
利用可能性 |
高 |
|
POC状态 |
未公开 |
在野利用状态 |
已发现 |
|
EXP状态 |
未公开 |
技术细节状态 |
未公开 |
|
危害描述:恶意攻击者可通过此漏洞造成服务器拒绝服务。 |
|||
影响组件
HTTP/2(原名HTTP 2.0)即超文本传输协议第二版,使用于万维网。HTTP/2主要基于SPDY协议,通过对HTTP头字段进行数据压缩、对数据传输采用多路复用和增加服务端推送等举措,来减少网络延迟,提高客户端的页面加载速度。
漏洞描述
近日,奇安信CERT监测到互联网上公开近几个月利用HTTP/2 协议拒绝服务漏洞(CVE-2023-44487)进行攻击的详细信息。此漏洞允许恶意攻击者发起针对HTTP/2 服务器的DDoS攻击,使用 HEADERS 和 RST_STREAM发送一组HTTP请求,并重复此模式以在目标 HTTP/2 服务器上生成大量流量。通过在单个连接中打包多个HEADERS和RST_STREAM帧,可能导致每秒请求量显著增加,并导致服务器上的CPU 利用率较高,最终导致资源耗尽,造成拒绝服务。
鉴于此漏洞影响产品较多,并已存在在野利用,建议客户尽快做好自查及防护。
影响版本
-
Netty:
Netty < 4.1.100.Final
-
Go:
Go < 1.21.3
Go < 1.20.10
-
Apache Tomcat:
11.0.0-M1 <= Apache Tomcat <= 11.0.0-M11
10.1.0-M1 <= Apache Tomcat <= 10.1.13
9.0.0-M1 <= Apache Tomcat <= 9.0.80
8.5.0 <= Apache Tomcat <= 8.5.93
-
grpc-go:
grpc-go < 1.58.3
grpc-go < 1.57.1
grpc-go < 1.56.3
-
jetty:
jetty < 12.0.2
jetty < 10.0.17
jetty < 11.0.17
jetty < 9.4.53.v20231009
-
nghttp2:
nghttp2 < v1.57.0
-
Apache Traffic Server:
8.0.0 <= Apache Traffic Server <= 8.1.8
9.0.0 <= Apache Traffic Server <= 9.2.2
注:以上影响产品为已发布修护版本的产品,实际受影响产品大于等于以上产品
不受影响版本
默认配置下Nginx允许客户端最多保持1000个HTTP连接,依赖此限制Nginx默认可防护此类攻击。
同时需注意的是,若配置keepalive_requests值远高于默认值,则同样可能受到此漏洞影响。
其他受影响组件
无
此漏洞为拒绝服务类型漏洞,不影响数据安全,只是可能导致服务器宕机,建议受影响用户排期修复。
1、可通过以下脚本检测是否受此漏洞攻击:
https://github.com/bcdannyboy/CVE-2023-44487
2、缓解措施:
-
启用waf或ddos防御相关安全系统(此类系统一般会有速率限制,可间接缓解该漏洞);
-
避免将应用完全暴露至公网;
-
在Web服务上禁用HTTP2协议。
3、安全升级:
-
Netty >= 4.1.100.Final:
https://github.com/netty/netty/releases/tag/netty-4.1.100.Final
-
Go >= 1.21.3、1.20.10:
https://github.com/golang/go/tags
-
Apache Tomcat >= 11.0.0-M12、10.1.14、9.0.81、8.5.94:
https://tomcat.apache.org/security-11.html#Fixed_in_Apache_Tomcat_11.0.0-M12
https://tomcat.apache.org/security-10.html#Fixed_in_Apache_Tomcat_10.1.14
https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.81
https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.94
-
grpc-go >= 1.58.3、1.57.1、1.56.3:
https://github.com/grpc/grpc-go/releases
-
jetty >= 12.0.2、10.0.17、11.0.17、9.4.53.v20231009:
https://github.com/eclipse/jetty.project/releases
-
nghttp2 >= v1.57.0:
https://github.com/nghttp2/nghttp2/releases
-
Apache Traffic Server >= 8.1.9、9.2.3:
https://github.com/apache/trafficserver/tags
[1]https://aws.amazon.com/security/security-bulletins/AWS-2023-011/
[2]https://blog.cloudflare.com/technical-breakdown-http2-rapid-reset-ddos-attack/
[3]https://blog.cloudflare.com/zero-day-rapid-reset-http2-record-breaking-ddos-attack/
[4]https://cloud.google.com/blog/products/identity-security/google-cloud-mitigated-largest-ddos-attack-peaking-above-398-million-rps/
[5]https://cloud.google.com/blog/products/identity-security/how-it-works-the-novel-http2-rapid-reset-ddos-attack
2023年10月11日,奇安信 CERT发布安全风险通告。
奇安信ALPHA威胁分析平台已支持漏洞情报订阅服务:
点击↓阅读原文,到ALHA威胁分析平台订阅更多漏洞信息。
原文始发于微信公众号(奇安信 CERT):HTTP/2 协议拒绝服务漏洞(CVE-2023-44487)安全风险通告
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论