Actu
ALERTE DE CYBERSECURITE SOC Itrust Niveau 1
octobre 2023 par Itrust
Le protocole HTTP/2 permet une attaque par déni de service car l’annulation des requêtes peut réinitialiser de nombreuses connexions rapidement, comme cela a été exploité en conditions réelles.
Une faille a été trouvée dans la gestion des flux multiplexés dans le protocole HTTP/2.
Le score CVSS de cette faille est de 7.5.
Appelée HTTP/2 Rapid Reset, cette stratégie d’attaque tire parti d’une caractéristique spécifique de HTTP/2 : sa capacité à permettre la multiplexation de requêtes au sein d’une seule connexion TCP.
Les attaquants établissent plusieurs connexions HTTP/2 dans lesquelles ils envoient des requêtes immédiatement suivies de réinitialisations (trames RST_STREAM).
Cette méthode a pour résultat de submerger le serveur sans franchir la limite de flux simultanés, car le serveur se trouve impuissant face à ces réinitialisations, étant donné qu’elles sont prises unilatéralement par le client, et le serveur n’a pas la capacité de les contrer ou de les refuser..
Produits affectés :
Serveurs web utilisant le protocole HTTP/2.
Potentielles conséquences :
– Perturbation du fonctionnement du serveur,
– Impact sur la disponibilité des sites web,
– Possibilité de violation de données et de vol d’informations sensibles.
Remédiation :
Attente de correctifs officiels de la part des éditeurs ainsi que des mainteneurs de produits open-source.
Correctifs temporaires :
Pour les serveurs web utilisant NGINX, il est possible d’atténuer la vulnérabilité en modifiant certains paramètres dont :
● Mettre le paramètre keepalive_requests par défaut (1000 requêtes).
● Mettre le paramètre http2_max_concurrent_streams par défaut (1000 streams).
● limit_conn et limit_req doivent être fixés avec un paramètre équilibrant les performances de l’application et la sécurité.
Désactivation du protocole HTTP/2 en utilisant l’éditeur de registre.
Sources :
https://gist.github.com/adulau/7c2bfb8e9cdbe4b35a5e131c66a0c088
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-44487
https://blog.cloudflare.com/technical-breakdown-http2-rapid-reset-ddos-attack/
Recommandations complémentaires d’ITRUST :
> Utilisez les dispositifs de sécurité du SI : SIEM, EDR ou contactez votre prestataire de supervision de votre cybersécurité (SOC managé).
> Ne pas laissez ce type de services exposés et sans protection. ITrust vous propose des outils pour détecter les cybermenaces, ransomwares, virus, et comportements anormaux au sein de votre SI, comme notre SIEM Reveelium UEBA.
> Scannez régulièrement votre réseau, afin de détecter les failles de sécurité et les correctifs à appliquer. Notre scanner de vulnérabilité IKare, disponible en version d’essai gratuite, permet de détecter les nouvelles failles de sécurité.
