新的HTTP/2 Continuation Flood攻击可能比破纪录的快速重置更严重

一名研究人员披露了一种新的拒绝服务 (DoS) 攻击方法，他声称这种方法可能会造成严重威胁，甚至比去年利用漏洞发动互联网历史上最大的 DDoS 攻击的快速重置还要严重。

这种新的 DoS 攻击方法名为 HTTP/2 Continuation Flood，由 Bartek Nowotarski 发现，并于周三公开披露了其技术细节（https://nowotarski.info/http2-continuation-flood-technical-details/）。

卡内基梅隆大学的CERT 协调中心( CERT/CC) 帮助协调受影响公司和开源项目的信息披露，该中心也发布了一份咨询报告（https://kb.cert.org/vuls/id/421644)。

HTTP/2 Continuation Flood被描述为影响许多 HTTP/2 协议实现的一类漏洞。这是由于对 HEADERS 和多个 CONTINUATION 帧的错误处理造成的，并且涉及发送不带 END_HEADERS 标志的 CONTINUATION 帧流来正确关闭请求。

“许多 HTTP/2 实现没有正确限制或清理单个流中发送的 CONTINUATION 帧的数量。可以向目标服务器发送数据包的攻击者可以发送 CONTINUATION 帧流，这些帧不会附加到内存中的标头列表中，但仍会由服务器处理和解码，或者将附加到标头列表中，从而导致输出内存（OOM）崩溃。”CERT/CC 解释道。

Nowotarski 表示，“利用该漏洞攻击可以实现多种后果，从发送几个 HTTP/2 帧后立即崩溃、内存不足崩溃到影响服务器可用性的 CPU 耗尽。”

研究人员将 HTTP/2 Continuation Flood与快速重置进行了比较，快速重置是 2023 年 10 月曝光的 HTTP/2 缺陷，当时 Google、Cloudflare 和 AWS 等科技巨头表示，追踪为 CVE-2023-44487 的漏洞已被利用来启动他们所见过的最大规模的 DDoS 攻击。

快速重置滥用了称为“流取消”的 HTTP/2 功能，涉及重复发送请求并立即取消该请求。它使更小的僵尸网络（Cloudflare 客户成为 20,000 台设备僵尸网络的目标）攻击可以造成重大破坏。

Nowotarski 表示，在许多情况下，Continuation Flood 攻击可能比 Rapid Reset 造成更大的威胁，因为单台机器有可能对使用 HTTP/2 的网站和 API 造成破坏。

此外，HTTP 访问日志中没有可见的请求，这使得检测更加困难。

研究人员指出：“如果服务器管理员不具备适当的 HTTP/2 知识，如果它在野外被利用，那么调试起来会非常困难。” “这是因为与此漏洞相关的恶意 HTTP 请求都没有被正确关闭。这些请求在服务器访问日志中不可见，并且由于大多数 HTTP/2 服务器缺乏高级帧分析，因此必须通过手动、繁琐的原始连接数据分析来处理。”

根据Cloudflare数据，HTTP/2流量占真实用户HTTP流量的60%以上。因此，研究人员表示，“我们可以假设互联网的很大一部分受到了易于利用的漏洞影响”。

各个 CVE 标识符已分配给受 HTTP/2 Continuation Flood影响的各种实现，包括 AMPHP (CVE-2024-2653)、Apache HTTP Server (CVE-2024-27316)、Apache Tomcat (CVE-2024-24549)、Apache Traffic服务器 (CVE-2024-31309)、Envoy（CVE-2024-27919 和 CVE-2024-30255）、Golang (CVE-2023-45288)、Node.js (CVE-2024-27983)、Nghttp2 (CVE-2024- 28182）和 Tempesta FW（CVE-2024-2758）。正在针对几个受影响的实施推出补丁和缓解措施。

CERT/CC 的通报还列出了 Red Hat、Suse Linux 和 Arista Networks 受到的影响。Arista 发布了一份公告（https://www.arista.com/en/support/advisories-notices/security-advisory/19221-security-advisory-0094），详细说明了对其产品的影响。

CERT/CC 通报还列出了几家已确认未受到影响的公司，以及数十家尚未确认或否认受到影响的供应商。

HTTP/2 Continuation Flood的负责任披露流程于 2024 年 1 月上旬启动。

参考链接：https://www.securityweek.com/new-http-2-dos-attack-potentially-more-severe-than-record-breaking-rapid-reset/