روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ 8 آسیبپذیری اجرای سرور HTTP/2 (جدیدترین نسخهی پروتکل HTTP) در فروشندههای آمازون، اپل، مایکروسافت و آپاچی یافت شد. این هشت باگ میتوانند وبسایتها در معرض حملات DoS قرار دهند. باگها در طبیعتشان با هم یکی هستند و میتوانند توسط مهاجمین جهت اجرای حملهی DoS، ایجاد اختلال در سرویسهای داخلی و همچنین انکار دسترسی به وبسایت اکسپلویت شوند. به نقل از شرکت کلودفر[1]، انجام این حملات «برای کسی که از ساز و کار درونی HTTP/2 سر در میآورد و به حملات DoS واقف است کار بسیار آسانی باید باشد».
به نقل از کلودفر که برای مدیریت HTTP/2 از نرمافزار NGINX استفاده میکند، این شرکت همهی نمونههای نرمافزار آسیبپذیر را پچ کرده است: «به محض آنکه متوجه این آسیبپذیریها شدیم، تیم پروتکلهای کلودفر شروع کردند به رفع آنها».
اپل همچنین برای اجرای HTTP/2 خود فیکسهایی را ارائه داده (SwiftNIO) و به مشتریان خود نیز هشدار داد که حملهای روی سرور صورت گرفته که «ممکن است مقادیر بی حد و حصری از حافظه را –وقتی الگوهای مشخص ترافیک دریافت میکند- مصرف کرده و در نهایت دچار فرسودگی منابع شود».
HTTP/2 آپدیتِ همان پروتکل [2]HTTP (که سال 2015 معرفی شد) است. این آپدیت قرار بود جایگزین سریعتر، سادهتر و قویتری از نسخهی HTTP/1 باشد. HTTP پروتکلی اساسی است که در فضای اینترنت برای تبادل اطلاعات روی وب مورد استفاده قرار میگیرد.
تحلیل فنی این باگها توسط پژوهشهای تیم Tenable حاکی از حمله به سرور آسیبپذیر HTTP/2 میباشد:
«کلاینت (مهاجم) میتواند با ارسال درخواستهایی -که با مهارت ساخته شده است- به سرورهای آسیبپذیر، از آسیبپذیریهای HTTP/2 سوءاستفاده کند. گرچه این درخواستها متفاوت خواهند بود اما یک سرور آسیبپذیر برای پردازش درخواست و ارسال پاسخ تلاش خواهد کرد. با این وجود، کلاینت آلوده پاسخ را نادیده میگیرد و همین به مصرف بیش از اندازهی منابع میشود که میتواند در نهایت به DoS ختم شود».
جاناتان لونی، محقق نتفلیکس موفق به هفت تا از آن هشت باگ شده است (CVE-2019-9511، CVE-2019-9512, CVE-2019-9513، CVE-2019-9514، CVE-2019-9515، CVE-2019-9516، CVE-2019-9517). پیوتر سیکورا نماینده تیم امنیت گوگل نیز باگ دیگر را پیدا کرد (CVE-2019-9518).
فهرست کامل فروشندههایی که از این آسیبپذیریها لطمه خوردند:
Apple، Akamai، Ambassador (API Gateway)، Apache Traffic Serve، Cloudflare (Proxy)، Google (Golang)، Microsoft، Netty Project، nghttp2، Node.js و Swift.
[1] Cloudflare
[2] Hypertext Transfer Protocol
منبع: کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکي نام دارد.