Imperva เผยช่องโหว่ความรุนแรงสูงบนโปรโตคอล HTTP/2

imperva_logo_2

ภายในงาน Black Hat USA 2016 ที่กำลังจัดขึ้นอยู่ในขณะนี้ Imperva ผู้ให้บริการ Data และ Application Security ชั้นนำของโลก ออกมาเปิดเผยถึงช่องโหว่ความรุนแรงสูงบน HTTP/2 ทั้งหมด 4 รายการ ซึ่งช่วยให้แฮ็คเกอร์สามารถโจมตีเพื่อให้ Web Server ทำงานช้าลงหรือล่มระบบให้ไม่สามารถใช้บริการได้

Credit: Smit/ShutterStock
Credit: Smit/ShutterStock

HTTP/2 เป็นโปรโตคอลเวอร์ชันปรับปรุงของ HTTP เริ่มใช้งานอย่างแพร่หลายเมื่อเดือนพฤษภาคม 2015 ที่ผ่านมา หลังจากที่ Google ใช้โปรโตคอลดังกล่าวในโปรเจ็คท์ SPDY เมื่อเดือนกุมภาพันธ์ โดยมีจุดประสงค์เพื่อเพิ่มความเร็วในการโหลดหน้าเว็บเพจและมอบประสบการณ์ในการใช้งานอันแสนยอดเยี่ยมให้แก่ผู้ใช้ออนไลน์

โปรโตคอล HTTP/2 แบ่งการทำงานออกเป็นทั้งหมด 3 Layers คือ

  • Transmission Layer ประกอบด้วย Strams, Frames และ Flow Control
  • HPACK ซึ่งเป็น Binary Encoding และ Compression Protocol
  • Semantic Layer เป็นเวอร์ชันที่ปรับแต่งมาจาก HTTP/1.1 โดยเพิ่มสมรรถนะทางด้าน Server Push

ช่องโหว่ทั้ง 4 รายการที่ค้นพบประกอบด้วย

1. Slow Read (CVE-2016-1546)

การโจมตีนี้เหมือนกับการโจมตี Slowloris DDoS ชื่อดังที่เคยเกิดขึ้นกับระบบบัตรเครดิตเมื่อปี 2010 โดยการโจมตี Slow Read นี้จะทำการเรียกให้ Malicious Client อ่านข้อความ Response อย่างช้าๆ การโจมตีนี้เรียนรู้ระบบ Ecosystem ของ HTTP/1.x มาเป็นอย่างดี และยังคงเป็นช่องโหว่สำคัญที่ค้นพบบน Application Layer ของ HTTP/2 เช่นกัน

imperva_http2_2

2. HPACK Bomb (CVE-2016-1544 และ CVE-2016-2525)

HPACK Bomb เป็นการโจมตีที่ Compress Layer ซึ่งคล้ายกับการโจมตีแบบ Zip Bomb หรือ Decompression Bomb การโจมตีนี้ แฮ็คเกอร์จะสร้างข้อความขนาดเล็กที่ดูเหมือนไม่มีอะไร แต่เมื่อทำการ Unpack ที่ฝั่ง Server แล้ว จะเป็นข้อมูลที่มีขนาดระดับ Gigabyte ส่งผลให้ข้อความดังกล่าวกินทรัพยากรของ Server Memory เป็นอย่างมาก ผลลัพธ์ที่ตามมาคือ Web Server ประมวลผลได้ช้าลงหรือไม่สามารถให้บริการได้

imperva_http2_3

3. Dependency Cycle Attack (CVE-2015-8659)

การโจมตีนี้ใช้ประโยชน์จากกลไกFlow Control ที่ HTTP/2 ใช้เพื่อทำ Network Optimization เครื่อง Malicious Client จะทำการสร้าง Requests ที่ก่อให้เกิด Dependency Cycle บน Web Server ซึ่งจะบังคับให้ Web Server ตกสู่การประมวลผลแบบ Infinite Loop ช่องโหว่นี้ช่วยให้แฮ็คเกอร์สามารถโจมตีแบบ DoS หรือรันคำสั่งบางอย่างตามความต้องการได้

imperva_http2_4

4. Stream Multiplexing Abuse (CVE-2016-0150)

ช่องโหว่นี้ช่วยให้แฮ็คเกอร์สามารถเจาะช่องโหว่ที่ Server ใช้ Implement ฟังก์ชัน Stream Multiplexing เพื่อล่มระบบให้ไม่สามารถให้บริการได้อีกต่อไป ผลลัพธ์ที่ตามมาคือ แฮ็คเกอร์สามารถโจมตี DoS ไปยังผู้ใช้ Web Server ได้

imperva_http2_5

เปรียบเทียบช่องโหว่ทั้ง 4 รายการที่ค้นพบบน Web Servr ยอดนิยม ได้แก่ Apache, IIS, Jetty, Nghttpd2 และ NGINX

imperva_http2_1

“การปรับแต่งประสิทธิภาพการใช้งานทั่วไปของเว็บไซต์ และการเพิ่มสมรรถะสำหรับแอพพลิเคชันบนอุปกรณ์พกพาบน HTTP/2 เป็นข่าวดีสำหรับผู้ใช้งานอินเทอร์เน็ตทุกคน อย่างไรก็ตาม การเปิดเผยโค้ดสู่สาธารณะเป็นการสร้างโอกาสอันดีสำหรับแฮ็คเกอร์ การพบช่องโหว่ของ HTTP/1.x บน HTTP/2 เป็นเรื่องที่ไม่น่าประหลาดใจเท่าไหร่ เมื่อองค์กรนำเทคโนโลยีใหม่เข้ามาใช้ มันเป็นเรื่องสำคัญมากที่จะมีการเฝ้าระวังและควบคุมเทคโนโลยีเหล่านั้น รวมไปถึงสร้างระบบคุ้มกันเพื่อปกป้องธุรกิจและข้อมูลของลูกค้า” — Amichai Shulman ผู้ก่อตั้งและ CTO ของ Imperva ให้ความเห็น

อ่านรายงานฉบับเต็ม HTTP/2: In-depth analysis of the top four flaws of the next generation web protocol [PDF]

ที่มา: http://blog.imperva.com/2016/08/http2-faster-and-better-than-http-11-but-is-it-more-secure.html

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

[Video Webinar] พลิกโฉม DevSecOps ด้วย Dynatrace – เสริมศักยภาพระบบ IT ด้วยการมอนิเตอร์อัตโนมัติและความปลอดภัยอัจฉริยะ

สำหรับผู้ที่ไม่ได้เข้าฟังการบรรยาย AskMe Webinar เรื่อง “พลิกโฉม DevSecOps ด้วย Dynatrace – เสริมศักยภาพระบบ IT ด้วยการมอนิเตอร์อัตโนมัติและความปลอดภัยอัจฉริยะ” พร้อมกรณีศึกษาการใช้ DevSecOps ลดเวลาในการตรวจจับและแก้ไขปัญหา …

iZeno และ Mendix ขอเชิญทุกท่านเข้าร่วมงานสัมมนาออนไลน์ในหัวข้อ “Empower Your Digital Transformation Journey with AI and Low-Code” [5 ธ.ค. 2567 — 10.00น.]

iZeno และ Mendix ขอเชิญทุกท่านเข้าร่วมงานสัมมนาออนไลน์ในหัวข้อ “Empower Your Digital Transformation Journey with AI and Low-Code” ที่จะทุกท่านได้เรียนรู้เกี่ยวกับโซลูชันการพัฒนาแอปพลิเคชันด้วยเทคโนโลยี Low-code …