● 点击↑蓝字关注我们,获取更多安全风险通告
|
漏洞概述 |
|||
|
漏洞名称 |
HTTP/2 协议拒绝服务漏洞 |
||
|
漏洞编号 |
QVD-2023-24046、CVE-2023-44487 |
||
|
公开时间 |
2023-10-10 |
影响对象数量级 |
千万级 |
|
奇安信评级 |
高危 |
CVSS 3.1分数 |
7.5 |
|
威胁类型 |
拒绝服务 |
利用可能性 |
高 |
|
POC状态 |
未公开 |
在野利用状态 |
已发现 |
|
EXP状态 |
未公开 |
技术细节状态 |
未公开 |
|
利用条件:需要服务器支持HTTP2协议。 |
|||
(注:奇安信CERT的漏洞深度分析报告包含此漏洞的POC及技术细节,订阅方式见文末。)
影响组件
HTTP/2(原名HTTP 2.0)即超文本传输协议第二版,使用于万维网。HTTP/2主要基于SPDY协议,通过对HTTP头字段进行数据压缩、对数据传输采用多路复用和增加服务端推送等举措,来减少网络延迟,提高客户端的页面加载速度。
漏洞描述
近日,奇安信CERT监测到互联网上公开近几个月利用 HTTP/2 协议拒绝服务漏洞(CVE-2023-44487)进行攻击的详细信息。恶意攻击者可通过打开多个请求流并立即通过发送RST_STREAM帧,取消请求,通过这种办法可以绕过并发流的限制,导致服务器资源的快速消耗。
鉴于此漏洞影响产品较多,并已存在在野利用,建议客户尽快做好自查及防护。
本次更新:
新增复现截图;
新增产品解决方案;
修改产品描述;
修改利用条件;
修改处置建议。
影响版本
-
Netty:
Netty < 4.1.100.Final
-
Go:
Go < 1.21.3
Go < 1.20.10
-
Apache Tomcat:
11.0.0-M1 <= Apache Tomcat <= 11.0.0-M11
10.1.0-M1 <= Apache Tomcat <= 10.1.13
9.0.0-M1 <= Apache Tomcat <= 9.0.80
8.5.0 <= Apache Tomcat <= 8.5.93
-
grpc-go:
grpc-go < 1.58.3
grpc-go < 1.57.1
grpc-go < 1.56.3
-
jetty:
jetty < 12.0.2
jetty < 10.0.17
jetty < 11.0.17
jetty < 9.4.53.v20231009
-
nghttp2:
nghttp2 < v1.57.0
-
Apache Traffic Server:
8.0.0 <= Apache Traffic Server <= 8.1.8
9.0.0 <= Apache Traffic Server <= 9.2.2
注:以上影响产品为已发布修护版本的产品,实际受影响产品大于等于以上产品
不受影响版本
默认配置下Nginx允许客户端最多保持1000个HTTP连接,依赖此限制Nginx默认可防护此类攻击。
同时需注意的是,若配置keepalive_requests值远高于默认值,则同样可能受到此漏洞影响。
其他受影响组件
无
目前,奇安信CERT已成功复现此漏洞,截图如下:
此漏洞为拒绝服务类型漏洞,不影响数据安全,只是可能导致服务器宕机,建议受影响用户排期修复:
缓解措施
-
启用waf或ddos防御相关安全系统(此类系统一般会有速率限制,可间接缓解该漏洞);
-
避免将应用完全暴露至公网;
-
在Web服务上禁用HTTP2协议(这个会影响系统性能)。
安全更新
-
Netty >= 4.1.100.Final:
https://github.com/netty/netty/releases/tag/netty-4.1.100.Final
-
Go >= 1.21.3、1.20.10:
https://github.com/golang/go/tags
-
Apache Tomcat >= 11.0.0-M12、10.1.14、9.0.81、8.5.94:
https://tomcat.apache.org/security-11.html#Fixed_in_Apache_Tomcat_11.0.0-M12
https://tomcat.apache.org/security-10.html#Fixed_in_Apache_Tomcat_10.1.14
https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.81
https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.94
-
grpc-go >= 1.58.3、1.57.1、1.56.3:
https://github.com/grpc/grpc-go/releases
-
jetty >= 12.0.2、10.0.17、11.0.17、9.4.53.v20231009:
https://github.com/eclipse/jetty.project/releases
-
nghttp2 >= v1.57.0:
https://github.com/nghttp2/nghttp2/releases
-
Apache Traffic Server >= 8.1.9、9.2.3:
https://github.com/apache/trafficserver/tags
-
NGINX已修复该漏洞,开源用户可以从最新的代码库构建最新NGINX:
https://github.com/nginx/nginx
产品解决方案
奇安信开源卫士已支持
奇安信开源卫士20231013. 410版本已支持对HTTP/2 协议拒绝服务漏洞 (CVE-2023-44487)的检测。
奇安信网站应用安全云防护系统已更新防护特征库
奇安信网神网站应用安全云防护系统已全局更新所有云端防护节点的防护规则,支持对HTTP/2 协议拒绝服务漏洞 (CVE-2023-44487)的防护。
[1]https://aws.amazon.com/security/security-bulletins/AWS-2023-011/
[2]https://blog.cloudflare.com/technical-breakdown-http2-rapid-reset-ddos-attack/
[3]https://blog.cloudflare.com/zero-day-rapid-reset-http2-record-breaking-ddos-attack/
[4]https://cloud.google.com/blog/products/identity-security/google-cloud-mitigated-largest-ddos-attack-peaking-above-398-million-rps/
[5]https://cloud.google.com/blog/products/identity-security/how-it-works-the-novel-http2-rapid-reset-ddos-attack
2023年10月11日,奇安信 CERT发布安全风险通告;
2023年10月13日,奇安信 CETRT发布安全风险通告第二次更新。
奇安信ALPHA威胁分析平台已支持漏洞情报订阅服务:
点击↓阅读原文,到ALPHA威胁分析平台订阅更多漏洞信息。
原文始发于微信公众号(奇安信 CERT):【已复现】HTTP/2 协议拒绝服务漏洞(CVE-2023-44487)安全风险通告第二次更新
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论