Breaking News

Imperva เผยช่องโหว่ความรุนแรงสูงบนโปรโตคอล HTTP/2

imperva_logo_2

ภายในงาน Black Hat USA 2016 ที่กำลังจัดขึ้นอยู่ในขณะนี้ Imperva ผู้ให้บริการ Data และ Application Security ชั้นนำของโลก ออกมาเปิดเผยถึงช่องโหว่ความรุนแรงสูงบน HTTP/2 ทั้งหมด 4 รายการ ซึ่งช่วยให้แฮ็คเกอร์สามารถโจมตีเพื่อให้ Web Server ทำงานช้าลงหรือล่มระบบให้ไม่สามารถใช้บริการได้

Credit: Smit/ShutterStock
Credit: Smit/ShutterStock

HTTP/2 เป็นโปรโตคอลเวอร์ชันปรับปรุงของ HTTP เริ่มใช้งานอย่างแพร่หลายเมื่อเดือนพฤษภาคม 2015 ที่ผ่านมา หลังจากที่ Google ใช้โปรโตคอลดังกล่าวในโปรเจ็คท์ SPDY เมื่อเดือนกุมภาพันธ์ โดยมีจุดประสงค์เพื่อเพิ่มความเร็วในการโหลดหน้าเว็บเพจและมอบประสบการณ์ในการใช้งานอันแสนยอดเยี่ยมให้แก่ผู้ใช้ออนไลน์

โปรโตคอล HTTP/2 แบ่งการทำงานออกเป็นทั้งหมด 3 Layers คือ

  • Transmission Layer ประกอบด้วย Strams, Frames และ Flow Control
  • HPACK ซึ่งเป็น Binary Encoding และ Compression Protocol
  • Semantic Layer เป็นเวอร์ชันที่ปรับแต่งมาจาก HTTP/1.1 โดยเพิ่มสมรรถนะทางด้าน Server Push

ช่องโหว่ทั้ง 4 รายการที่ค้นพบประกอบด้วย

1. Slow Read (CVE-2016-1546)

การโจมตีนี้เหมือนกับการโจมตี Slowloris DDoS ชื่อดังที่เคยเกิดขึ้นกับระบบบัตรเครดิตเมื่อปี 2010 โดยการโจมตี Slow Read นี้จะทำการเรียกให้ Malicious Client อ่านข้อความ Response อย่างช้าๆ การโจมตีนี้เรียนรู้ระบบ Ecosystem ของ HTTP/1.x มาเป็นอย่างดี และยังคงเป็นช่องโหว่สำคัญที่ค้นพบบน Application Layer ของ HTTP/2 เช่นกัน

imperva_http2_2

2. HPACK Bomb (CVE-2016-1544 และ CVE-2016-2525)

HPACK Bomb เป็นการโจมตีที่ Compress Layer ซึ่งคล้ายกับการโจมตีแบบ Zip Bomb หรือ Decompression Bomb การโจมตีนี้ แฮ็คเกอร์จะสร้างข้อความขนาดเล็กที่ดูเหมือนไม่มีอะไร แต่เมื่อทำการ Unpack ที่ฝั่ง Server แล้ว จะเป็นข้อมูลที่มีขนาดระดับ Gigabyte ส่งผลให้ข้อความดังกล่าวกินทรัพยากรของ Server Memory เป็นอย่างมาก ผลลัพธ์ที่ตามมาคือ Web Server ประมวลผลได้ช้าลงหรือไม่สามารถให้บริการได้

imperva_http2_3

3. Dependency Cycle Attack (CVE-2015-8659)

การโจมตีนี้ใช้ประโยชน์จากกลไกFlow Control ที่ HTTP/2 ใช้เพื่อทำ Network Optimization เครื่อง Malicious Client จะทำการสร้าง Requests ที่ก่อให้เกิด Dependency Cycle บน Web Server ซึ่งจะบังคับให้ Web Server ตกสู่การประมวลผลแบบ Infinite Loop ช่องโหว่นี้ช่วยให้แฮ็คเกอร์สามารถโจมตีแบบ DoS หรือรันคำสั่งบางอย่างตามความต้องการได้

imperva_http2_4

4. Stream Multiplexing Abuse (CVE-2016-0150)

ช่องโหว่นี้ช่วยให้แฮ็คเกอร์สามารถเจาะช่องโหว่ที่ Server ใช้ Implement ฟังก์ชัน Stream Multiplexing เพื่อล่มระบบให้ไม่สามารถให้บริการได้อีกต่อไป ผลลัพธ์ที่ตามมาคือ แฮ็คเกอร์สามารถโจมตี DoS ไปยังผู้ใช้ Web Server ได้

imperva_http2_5

เปรียบเทียบช่องโหว่ทั้ง 4 รายการที่ค้นพบบน Web Servr ยอดนิยม ได้แก่ Apache, IIS, Jetty, Nghttpd2 และ NGINX

imperva_http2_1

“การปรับแต่งประสิทธิภาพการใช้งานทั่วไปของเว็บไซต์ และการเพิ่มสมรรถะสำหรับแอพพลิเคชันบนอุปกรณ์พกพาบน HTTP/2 เป็นข่าวดีสำหรับผู้ใช้งานอินเทอร์เน็ตทุกคน อย่างไรก็ตาม การเปิดเผยโค้ดสู่สาธารณะเป็นการสร้างโอกาสอันดีสำหรับแฮ็คเกอร์ การพบช่องโหว่ของ HTTP/1.x บน HTTP/2 เป็นเรื่องที่ไม่น่าประหลาดใจเท่าไหร่ เมื่อองค์กรนำเทคโนโลยีใหม่เข้ามาใช้ มันเป็นเรื่องสำคัญมากที่จะมีการเฝ้าระวังและควบคุมเทคโนโลยีเหล่านั้น รวมไปถึงสร้างระบบคุ้มกันเพื่อปกป้องธุรกิจและข้อมูลของลูกค้า” — Amichai Shulman ผู้ก่อตั้งและ CTO ของ Imperva ให้ความเห็น

อ่านรายงานฉบับเต็ม HTTP/2: In-depth analysis of the top four flaws of the next generation web protocol [PDF]

ที่มา: http://blog.imperva.com/2016/08/http2-faster-and-better-than-http-11-but-is-it-more-secure.html



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

[Guest Post] In Case of Emergency, Press Nutanix Xi Frame 5 ขั้นตอนง่ายกับการ “work from everywhere” ในทุกสถานการณ์

Nutanix Xi Frame เป็นโซลูชั่น Desktop-as-a-Service (DaaS) ซึ่งช่วยให้ผู้ใช้สามารถเข้าถึงเดสก์ท๊อป หรือแอพพลิเคชั่นได้จากทุกที่ และทุกอุปกรณ์ โดย Frame จะส่งผ่าน Virtual App หรือ Virtual Desktop ให้กับผู้ใช้จากผู้ให้บริการ Cloud เช่น AWS, Azure, Google Cloud หรือองค์กรสามารถติดตั้ง Frame บน Nutanix AHV ได้เช่นกัน และก่อนที่จะพูดถึงขั้นตอนง่ายๆของการเซ็ตอัพ และคอนฟิก Frame นั้น มาดูกันว่าทำไมการนำ DaaS โดยเฉพาะ Frame มาใช้สำหรับองค์กรจึงเหมาะสมกับแนวคิดของการ Work from Home

ชี้แจงประเด็นด้านความมั่นคงปลอดภัยในการใช้ Zoom จัด Webinar โดย TechTalkThai

หลังจากที่มีข่าวประเด็นปัญหาด้านความมั่นคงปลอดภัยของ Zoom ถูกเปิดเผยออกมาเป็นจำนวนมากในช่วงสัปดาห์ที่ผ่านมา TechTalkThai ในฐานะผู้ใช้บริการ Zoom ในการจัดทำ Webinar ก็ได้ติดตาม ตรวจสอบ และทำการประเมินประเด็นต่างๆ ที่เกี่ยวข้องอย่างใกล้ชิด และขอชี้แจงเพื่อให้ผู้อ่านทุกท่านสบายใจในการเข้าร่วม Webinar ที่จัดขึ้นโดย …