Imperva เผยช่องโหว่ความรุนแรงสูงบนโปรโตคอล HTTP/2

ภายในงาน Black Hat USA 2016 ที่กำลังจัดขึ้นอยู่ในขณะนี้ Imperva ผู้ให้บริการ Data และ Application Security ชั้นนำของโลก ออกมาเปิดเผยถึงช่องโหว่ความรุนแรงสูงบน HTTP/2 ทั้งหมด 4 รายการ ซึ่งช่วยให้แฮ็คเกอร์สามารถโจมตีเพื่อให้ Web Server ทำงานช้าลงหรือล่มระบบให้ไม่สามารถใช้บริการได้

HTTP/2 เป็นโปรโตคอลเวอร์ชันปรับปรุงของ HTTP เริ่มใช้งานอย่างแพร่หลายเมื่อเดือนพฤษภาคม 2015 ที่ผ่านมา หลังจากที่ Google ใช้โปรโตคอลดังกล่าวในโปรเจ็คท์ SPDY เมื่อเดือนกุมภาพันธ์ โดยมีจุดประสงค์เพื่อเพิ่มความเร็วในการโหลดหน้าเว็บเพจและมอบประสบการณ์ในการใช้งานอันแสนยอดเยี่ยมให้แก่ผู้ใช้ออนไลน์

โปรโตคอล HTTP/2 แบ่งการทำงานออกเป็นทั้งหมด 3 Layers คือ

• Transmission Layer ประกอบด้วย Strams, Frames และ Flow Control
• HPACK ซึ่งเป็น Binary Encoding และ Compression Protocol
• Semantic Layer เป็นเวอร์ชันที่ปรับแต่งมาจาก HTTP/1.1 โดยเพิ่มสมรรถนะทางด้าน Server Push

ช่องโหว่ทั้ง 4 รายการที่ค้นพบประกอบด้วย

1. Slow Read (CVE-2016-1546)

การโจมตีนี้เหมือนกับการโจมตี Slowloris DDoS ชื่อดังที่เคยเกิดขึ้นกับระบบบัตรเครดิตเมื่อปี 2010 โดยการโจมตี Slow Read นี้จะทำการเรียกให้ Malicious Client อ่านข้อความ Response อย่างช้าๆ การโจมตีนี้เรียนรู้ระบบ Ecosystem ของ HTTP/1.x มาเป็นอย่างดี และยังคงเป็นช่องโหว่สำคัญที่ค้นพบบน Application Layer ของ HTTP/2 เช่นกัน

2. HPACK Bomb (CVE-2016-1544 และ CVE-2016-2525)

HPACK Bomb เป็นการโจมตีที่ Compress Layer ซึ่งคล้ายกับการโจมตีแบบ Zip Bomb หรือ Decompression Bomb การโจมตีนี้ แฮ็คเกอร์จะสร้างข้อความขนาดเล็กที่ดูเหมือนไม่มีอะไร แต่เมื่อทำการ Unpack ที่ฝั่ง Server แล้ว จะเป็นข้อมูลที่มีขนาดระดับ Gigabyte ส่งผลให้ข้อความดังกล่าวกินทรัพยากรของ Server Memory เป็นอย่างมาก ผลลัพธ์ที่ตามมาคือ Web Server ประมวลผลได้ช้าลงหรือไม่สามารถให้บริการได้

3. Dependency Cycle Attack (CVE-2015-8659)

การโจมตีนี้ใช้ประโยชน์จากกลไกFlow Control ที่ HTTP/2 ใช้เพื่อทำ Network Optimization เครื่อง Malicious Client จะทำการสร้าง Requests ที่ก่อให้เกิด Dependency Cycle บน Web Server ซึ่งจะบังคับให้ Web Server ตกสู่การประมวลผลแบบ Infinite Loop ช่องโหว่นี้ช่วยให้แฮ็คเกอร์สามารถโจมตีแบบ DoS หรือรันคำสั่งบางอย่างตามความต้องการได้

4. Stream Multiplexing Abuse (CVE-2016-0150)

ช่องโหว่นี้ช่วยให้แฮ็คเกอร์สามารถเจาะช่องโหว่ที่ Server ใช้ Implement ฟังก์ชัน Stream Multiplexing เพื่อล่มระบบให้ไม่สามารถให้บริการได้อีกต่อไป ผลลัพธ์ที่ตามมาคือ แฮ็คเกอร์สามารถโจมตี DoS ไปยังผู้ใช้ Web Server ได้

เปรียบเทียบช่องโหว่ทั้ง 4 รายการที่ค้นพบบน Web Servr ยอดนิยม ได้แก่ Apache, IIS, Jetty, Nghttpd2 และ NGINX

“การปรับแต่งประสิทธิภาพการใช้งานทั่วไปของเว็บไซต์ และการเพิ่มสมรรถะสำหรับแอพพลิเคชันบนอุปกรณ์พกพาบน HTTP/2 เป็นข่าวดีสำหรับผู้ใช้งานอินเทอร์เน็ตทุกคน อย่างไรก็ตาม การเปิดเผยโค้ดสู่สาธารณะเป็นการสร้างโอกาสอันดีสำหรับแฮ็คเกอร์ การพบช่องโหว่ของ HTTP/1.x บน HTTP/2 เป็นเรื่องที่ไม่น่าประหลาดใจเท่าไหร่ เมื่อองค์กรนำเทคโนโลยีใหม่เข้ามาใช้ มันเป็นเรื่องสำคัญมากที่จะมีการเฝ้าระวังและควบคุมเทคโนโลยีเหล่านั้น รวมไปถึงสร้างระบบคุ้มกันเพื่อปกป้องธุรกิจและข้อมูลของลูกค้า” — Amichai Shulman ผู้ก่อตั้งและ CTO ของ Imperva ให้ความเห็น

อ่านรายงานฉบับเต็ม HTTP/2: In-depth analysis of the top four flaws of the next generation web protocol [PDF]

ที่มา: http://blog.imperva.com/2016/08/http2-faster-and-better-than-http-11-but-is-it-more-secure.html