امنیت

فناوری اطلاعات

October 14, 2023
12:01 شنبه، 22ام مهرماه 1402
کد خبر: 150469

آسیب‌پذیری روز صفر در پروتکل HTTP/2

در اواخر ماه آگوست ۲۰۲۳ (شهریور ماه)، آسیب‌پذیری جدیدی در پروتکل HTTP/2 کشف شد که توسط مهاجمان برای انجام حملات DDoS با حجم بالا استفاده می‌شد. این آسیب‌پذیری که با شناسه CVE-2023-44487 و نام Rapid Reset شناخته می‌شود، باعث مصرف منابع و افزایش بار پردازشی سرورهای HTTP/2 شده و ممکن است سرویس‌دهی آن‌ها را مختل کند. آسیب‌پذیری مذکور تا اوایل ماه اکتبر ۲۰۲۳(مهر ماه) در وضعیت روز صفر بوده و هنوز راه‌حل کاملی برای آن ارائه نشده است.
 
این آسیب‌پذیری که حمله DDoS را به دنبال دارد، به دلیل وجود یک نقص در پیاده‌سازی پروتکل HTTP/2، به وجود آمده است. مهاجم تعداد زیادی درخواست HTTP با استفاده از فریم HEADERS ارسال می‌کند سپس با استفاده از فریم RST_STREAM، اتصال را قطع می‌کند. این الگو را به صورت تکراری و با سرعت بالا اجرا کرده تا حجم زیادی از ترافیک را به سمت سرورهای HTTP/2 هدایت کند. با قرار دادن چندین فریم HEADERS و RST_STREAM در یک اتصال، مهاجم می‌تواند باعث افزایش تعداد قابل توجهی درخواست در ثانیه و استفاده بالای CPU در سرورها شود که در نهایت منجر به درگیر کردن منابع می‌گردد.
 
توصیه‌های امنیتی
با توجه به اینکه هدف حملات DDoS، عمدتاً لایه ۷ شبکه است، بسیاری از شرکت‌های بزرگ فناوری اطلاعات، لایه ۷ خود را مورد حفاظت قرار داده و به‌روزرسانی‌های امنیتی منتشر کرده‌اند تا مشتریان خود را در برابر تأثیرات این حملات محافظت کنند. در حال حاضر، بهترین روش جهت جلوگیری از این حملات، استفاده از وصله های امنیتی موجود و تغییرات پیکربندی و سایر روشهای کاهش آسیب پذیری است که در ذیل به برخی از آن ها اشاره شده است:
 
اطمینان حاصل کنید که ابزارها و سرویس‌هایی امنیتی، جهت محافظت، شناسایی و پاسخ‌‌گویی به این حمله در سطح سرور و شبکه فعال باشند.
توصیه می‌شود از سرویس‌های محافظت از حملات DDoS (لایه 7) استفاده کرده و حدالامکان از WAF استفاده شود.
توصیه می‌شود از سرویس‌های محافظت از حملات DDoS برای DNS، ترافیک شبکه (لایه 3) و فایروال API استفاده گردد.
اطمینان حاصل کنید که سرویس‌های محافظت از حملات DDoS شما خارج از مرکز داده‌تان قرار دارد زیرا اگر ترافیک به مرکز داده شما برسد، کاهش مخاطره این حملات دشوار خواهد بود.
اطمینان حاصل کنید که وصله‌های منتشر شده برای وب‌سرور و سیستم‌عامل در همه سرورها و به‌روزرسانی‌ها اعمال شود.
به عنوان آخرین مورد، توصیه می‌شود جهت کاهش مخاطرات احتمالی،  HTTP/2  و  HTTP/3که در حال حاضر مورد استفاده بوده و احتمالاً آسیب‌پذیر است را به صورت موقت غیرفعال کنید. البته باید توجه داشت که اگر خواهان Downgrade نسخهها به HTTP/1 باشید ممکن است مشکلات عملکردی قابل توجهی را در پیش رو داشته باشید، لذا این مورد توصیه نمی‌شود.
استفاده از یک cloud-based DDoS L7 منیز می تواند مفید واقع شود.
  • مشترک شوید!

    برای عضویت در خبرنامه روزانه ایستنا؛ نشانی پست الکترونیکی خود را در فرم زیر وارد نمایید. پس از آن به صورت خودکار ایمیلی به نشانی شما ارسال میشود، برای تکمیل عضویت خود و تایید صحت نشانی پست الکترونیک وارد شده، می بایست بر روی لینکی که در این ایمیل برایتان ارسال شده کلیک نمایید. پس از آن پیامی مبنی بر تکمیل عضویت شما در خبرنامه روزانه ایستنا نمایش داده میشود.

    با عضویت در خبرنامه پیامکی آژانس خبری فناوری اطلاعات و ارتباطات (ایستنا) به طور روزانه آخرین اخبار، گزارشها و تحلیل های حوزه فناوری اطلاعات و ارتباطات را در هر لحظه و هر کجا از طریق پیام کوتاه دریافت خواهید کرد. برای عضویت در این خبرنامه، مشترکین سیمکارت های همراه اول لازم است عبارت 150 را به شماره 201464 و مشترکین سیمکارت های ایرانسل عبارت ozv ictn را به شماره ۸۲۸۲ ارسال کنند. دریافت موفق هر بسته خبری که محتوی پیامکی با حجم ۵پیامک بوده و ۴ تا ۶ عنوان خبری را شامل میشود، ۳۵۰ ریال برای مشترک هزینه در بردارد که در صورتحساب ارسالی از سوی اپراتور مربوطه محاسبه و از اعتبار موجود در حساب مشترکین سیمکارت های دائمی کسر میشود. بخشی از این درآمد این سرویس از سوی اپراتور میزبان شما به ایستنا پرداخت میشود. مشترکین در هر لحظه براساس دستورالعمل اعلامی در پایان هر بسته خبری قادر خواهند بود اشتراک خود را در این سرویس لغو کنند. هزینه دریافت هر بسته خبری برای مشترکین صرفا ۳۵۰ ریال خواهد بود و این هزینه برای مشترکین در حال استفاده از خدمات رومینگ بین الملل اپراتورهای همراه اول و ایرانسل هم هزینه اضافه ای در بر نخواهد داشت.