เชิญร่วมงานสัมมนา Rethink & Rebuild your Cyber Security Plan โดย AMR Asia

Imperva เผยช่องโหว่ความรุนแรงสูงบนโปรโตคอล HTTP/2

imperva_logo_2

ภายในงาน Black Hat USA 2016 ที่กำลังจัดขึ้นอยู่ในขณะนี้ Imperva ผู้ให้บริการ Data และ Application Security ชั้นนำของโลก ออกมาเปิดเผยถึงช่องโหว่ความรุนแรงสูงบน HTTP/2 ทั้งหมด 4 รายการ ซึ่งช่วยให้แฮ็คเกอร์สามารถโจมตีเพื่อให้ Web Server ทำงานช้าลงหรือล่มระบบให้ไม่สามารถใช้บริการได้

Credit: Smit/ShutterStock
Credit: Smit/ShutterStock

HTTP/2 เป็นโปรโตคอลเวอร์ชันปรับปรุงของ HTTP เริ่มใช้งานอย่างแพร่หลายเมื่อเดือนพฤษภาคม 2015 ที่ผ่านมา หลังจากที่ Google ใช้โปรโตคอลดังกล่าวในโปรเจ็คท์ SPDY เมื่อเดือนกุมภาพันธ์ โดยมีจุดประสงค์เพื่อเพิ่มความเร็วในการโหลดหน้าเว็บเพจและมอบประสบการณ์ในการใช้งานอันแสนยอดเยี่ยมให้แก่ผู้ใช้ออนไลน์

โปรโตคอล HTTP/2 แบ่งการทำงานออกเป็นทั้งหมด 3 Layers คือ

  • Transmission Layer ประกอบด้วย Strams, Frames และ Flow Control
  • HPACK ซึ่งเป็น Binary Encoding และ Compression Protocol
  • Semantic Layer เป็นเวอร์ชันที่ปรับแต่งมาจาก HTTP/1.1 โดยเพิ่มสมรรถนะทางด้าน Server Push

ช่องโหว่ทั้ง 4 รายการที่ค้นพบประกอบด้วย

1. Slow Read (CVE-2016-1546)

การโจมตีนี้เหมือนกับการโจมตี Slowloris DDoS ชื่อดังที่เคยเกิดขึ้นกับระบบบัตรเครดิตเมื่อปี 2010 โดยการโจมตี Slow Read นี้จะทำการเรียกให้ Malicious Client อ่านข้อความ Response อย่างช้าๆ การโจมตีนี้เรียนรู้ระบบ Ecosystem ของ HTTP/1.x มาเป็นอย่างดี และยังคงเป็นช่องโหว่สำคัญที่ค้นพบบน Application Layer ของ HTTP/2 เช่นกัน

imperva_http2_2

2. HPACK Bomb (CVE-2016-1544 และ CVE-2016-2525)

HPACK Bomb เป็นการโจมตีที่ Compress Layer ซึ่งคล้ายกับการโจมตีแบบ Zip Bomb หรือ Decompression Bomb การโจมตีนี้ แฮ็คเกอร์จะสร้างข้อความขนาดเล็กที่ดูเหมือนไม่มีอะไร แต่เมื่อทำการ Unpack ที่ฝั่ง Server แล้ว จะเป็นข้อมูลที่มีขนาดระดับ Gigabyte ส่งผลให้ข้อความดังกล่าวกินทรัพยากรของ Server Memory เป็นอย่างมาก ผลลัพธ์ที่ตามมาคือ Web Server ประมวลผลได้ช้าลงหรือไม่สามารถให้บริการได้

imperva_http2_3

3. Dependency Cycle Attack (CVE-2015-8659)

การโจมตีนี้ใช้ประโยชน์จากกลไกFlow Control ที่ HTTP/2 ใช้เพื่อทำ Network Optimization เครื่อง Malicious Client จะทำการสร้าง Requests ที่ก่อให้เกิด Dependency Cycle บน Web Server ซึ่งจะบังคับให้ Web Server ตกสู่การประมวลผลแบบ Infinite Loop ช่องโหว่นี้ช่วยให้แฮ็คเกอร์สามารถโจมตีแบบ DoS หรือรันคำสั่งบางอย่างตามความต้องการได้

imperva_http2_4

4. Stream Multiplexing Abuse (CVE-2016-0150)

ช่องโหว่นี้ช่วยให้แฮ็คเกอร์สามารถเจาะช่องโหว่ที่ Server ใช้ Implement ฟังก์ชัน Stream Multiplexing เพื่อล่มระบบให้ไม่สามารถให้บริการได้อีกต่อไป ผลลัพธ์ที่ตามมาคือ แฮ็คเกอร์สามารถโจมตี DoS ไปยังผู้ใช้ Web Server ได้

imperva_http2_5

เปรียบเทียบช่องโหว่ทั้ง 4 รายการที่ค้นพบบน Web Servr ยอดนิยม ได้แก่ Apache, IIS, Jetty, Nghttpd2 และ NGINX

imperva_http2_1

“การปรับแต่งประสิทธิภาพการใช้งานทั่วไปของเว็บไซต์ และการเพิ่มสมรรถะสำหรับแอพพลิเคชันบนอุปกรณ์พกพาบน HTTP/2 เป็นข่าวดีสำหรับผู้ใช้งานอินเทอร์เน็ตทุกคน อย่างไรก็ตาม การเปิดเผยโค้ดสู่สาธารณะเป็นการสร้างโอกาสอันดีสำหรับแฮ็คเกอร์ การพบช่องโหว่ของ HTTP/1.x บน HTTP/2 เป็นเรื่องที่ไม่น่าประหลาดใจเท่าไหร่ เมื่อองค์กรนำเทคโนโลยีใหม่เข้ามาใช้ มันเป็นเรื่องสำคัญมากที่จะมีการเฝ้าระวังและควบคุมเทคโนโลยีเหล่านั้น รวมไปถึงสร้างระบบคุ้มกันเพื่อปกป้องธุรกิจและข้อมูลของลูกค้า” — Amichai Shulman ผู้ก่อตั้งและ CTO ของ Imperva ให้ความเห็น

อ่านรายงานฉบับเต็ม HTTP/2: In-depth analysis of the top four flaws of the next generation web protocol [PDF]

ที่มา: http://blog.imperva.com/2016/08/http2-faster-and-better-than-http-11-but-is-it-more-secure.html



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

พบช่องโหว่สามารถ Bypass 2FA ใน cPanel

cPanel น่าจะเป็นชื่อที่คุ้นหูกันบ้านในธุรกิจ Web Hosting ซึ่งวันนี้มีการเปิดเผยว่าค้นพบช่องโหว่ที่ช่วยให้คนร้ายสามารถ Bypass การป้องกันของ 2 Factors Authentication ได้

Splunk เข้าซื้อกิจการ Flowmill เสริมแกร่งเทคโนโลยีช่วยติดตามปัญหาด้าน Network

Splunk ได้ประกาศเข้าซื้อกิจการ Flowmill ซึ่งเป็นสตาร์ทอัพที่นำเสนอโซลูชันเพื่อช่วยติดตามปัญหาระดับเครือข่ายในบริการคลาวด์ อย่างไรก็ดีไม่มีการเปิดเผยถึงมูลค่าดังกล่าว