باگ‌های HTTP، وبسایت‌ها را در معرض حملات DoS قرار می‌دهند

28 مرداد 1398 باگ‌های HTTP، وبسایت‌ها را در معرض حملات DoS قرار می‌دهند

روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ 8 آسیب‌پذیری اجرای سرور HTTP/2 (جدیدترین نسخه‌ی پروتکل HTTP) در فروشنده‌های آمازون، اپل، مایکروسافت و آپاچی یافت شد. این هشت باگ می‌توانند وبسایت‌ها در معرض حملات DoS قرار دهند. باگ‌ها در طبیعت‌شان با هم یکی هستند و می‌توانند توسط مهاجمین جهت اجرای حمله‌ی DoS، ایجاد اختلال در سرویس‌های داخلی و همچنین انکار دسترسی به وبسایت اکسپلویت شوند. به نقل از شرکت کلودفر[1]، انجام این حملات «برای کسی که از ساز و کار درونی HTTP/2 سر در می‌آورد و به حملات DoS  واقف است کار بسیار آسانی باید باشد».

به نقل از کلودفر که برای مدیریت HTTP/2 از نرم‌افزار NGINX استفاده می‌کند، این شرکت همه‌ی نمونه‌های نرم‌افزار آسیب‌پذیر را پچ کرده است: «به محض آنکه متوجه این آسیب‌پذیری‌ها شدیم، تیم پروتکل‌های کلودفر شروع کردند به رفع آن‌ها».

اپل همچنین برای اجرای HTTP/2 خود فیکس‌هایی را ارائه داده (SwiftNIO) و به مشتریان خود نیز هشدار داد که حمله‌ای روی سرور صورت گرفته که «ممکن است مقادیر بی حد و حصری از حافظه را –وقتی الگوهای مشخص ترافیک دریافت می‌کند- مصرف کرده و در نهایت دچار فرسودگی منابع شود».

HTTP/2 آپدیتِ همان پروتکل [2]HTTP (که سال 2015 معرفی شد) است. این آپدیت قرار بود جایگزین سریع‌تر، ساده‌تر و قوی‌تری از نسخه‌ی HTTP/1 باشد. HTTP پروتکلی اساسی است که در فضای اینترنت برای تبادل اطلاعات روی وب مورد استفاده قرار می‌گیرد.

تحلیل فنی این باگ‌ها توسط پژوهش‌های تیم Tenable حاکی از حمله‌‌ به سرور آسیب‌پذیر HTTP/2 می‌باشد:

«کلاینت (مهاجم) می‌تواند با ارسال درخواست‌هایی -که با مهارت ساخته شده‌ است- به سرورهای آسیب‌پذیر، از آسیب‌پذیری‌های HTTP/2 سوءاستفاده کند. گرچه این درخواست‌ها متفاوت خواهند بود اما یک سرور آسیب‌پذیر برای پردازش درخواست و ارسال پاسخ تلاش خواهد کرد. با این وجود، کلاینت آلوده پاسخ را نادیده می‌گیرد و همین به مصرف بیش از اندازه‌ی منابع می‌شود که می‌تواند در نهایت به  DoS ختم شود».

جاناتان لونی، محقق نتفلیکس موفق به هفت تا از آن هشت باگ شده است (CVE-2019-9511، CVE-2019-9512, CVE-2019-9513، CVE-2019-9514، CVE-2019-9515، CVE-2019-9516، CVE-2019-9517). پیوتر سیکورا نماینده تیم امنیت گوگل نیز باگ دیگر را پیدا کرد (CVE-2019-9518).

فهرست کامل فروشنده‌هایی که از این آسیب‌پذیری‌ها لطمه خوردند:

Apple، Akamai، Ambassador (API Gateway)، Apache Traffic Serve، Cloudflare (Proxy)، Google (Golang)، Microsoft، Netty Project، nghttp2، Node.js و Swift.

 

[1] Cloudflare

[2]  Hypertext Transfer Protocol

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکي نام دارد.

محصولات مرتبط

  • Kaspersky Internet Security

    هنگام خرید آنلاین و یا انجام تراکنش‌های بانکی از طریق اینترنت، از اطلاعات حساب بانکی و پولتان مراقبت می‌کنیم. وقتی در فضای سایبری مشغول معاشرت هستید از هویت‌تان حراست می‌کنیم... وقتی در اینترنت ...

    3,522,000 ریال
    خرید
  • Kaspersky Internet Security for Android

    تلفن هوشمند و تبلت شما نیز به اندازه ی کامپیوترتان در برابر حمله های دیجیتالی آسیب پذیرند. به همین خاطر هنگام وب گردی یا استفاده از شبکه های اجتماعی، باید از آنها مراقبت کنید. ...

    1,254,000 ریال
    خرید
  • Kaspersky Total Security

    خانواده، نهادی ارزشمند است؛ پس بالاترین سطح امنیتی خود را به آن اختصاص داده‌ایم. توتال سکیوریتی کسپرسکی به خانواده‌ی شما کمک می‌کند: وقتی دارند در اینترنت گشت می‌زنند، خرید ...

    5,034,000 ریال
    خرید
  • Kaspersky Cloud Password Manager

    Kaspersky Cloud Password Manager ابزار مدیریت کلمه عبور ابری کسپرسکی (KCPM) ضمن ذخیره ایمن تمامی کلمات عبور مورد استفاده شما برای وبسایت‌ها، اپلیکیشن‌ها، و شبکه‌های اجتماعی آنها را در تمامی ...

    1,888,800 ریال
    خرید
  • Kaspersky Safe Kids

    شما می توانید بر ارتباطات اینترنتی کودکان از قبیل فعالیتهای عمومی در فیسبوک، کنترل تماسها و پیامها از طریق دستگاههای اندرویدی نظارت داشته باشید. کمک شما به کودکان بهترین راهنمایی برای آنها ...

    1,888,800 ریال
    خرید
  • Kaspersky Antivirus

    ایجاد فضای امن سایبری ابتدا با محافظت از دستگاه پی‌سی‌تان شروع می‌شود. از همین رو آنتی‌ویروس کسپرسکی دستگاه پی‌سی شما را در برابر ویروس‌ها، باج‌افزارها، عملیات‌های فیشینگ، جاسوس‌افزار، وبسایت‌ها ...

    2,514,000 ریال
    خرید
  • Kaspersky Small Office Security 6

    محافظت در حین کار Kaspersky Small Office Security به طور خاص برای سازمان‌هایی طراحی شده است که 5 تا 25 دستگاه کامپیوتر در خود جای داده‌اند. نصب آن بسیار آسان است؛ مدیریت آن ...

    3,402,000 ریال4,536,000 ریال
    خرید

نظر خودتان را ارسال کنید


کاربر گرامی چنانچه تمایل دارید، نقد یا نظر شما به نام خودتان در سایت ثبت شود، لطفاً وارد سایت شوید.
*نظر
کلیه حقوق مادی و معنوی این سایت محفوظ و متعلق به شرکت گسترش خدمات تجارت الکترونیک ایرانیان است و هر گونه کپی برداری از آن پیگرد قانونی دارد