CVE-2023-44487 - Attaque de réinitialisation rapide HTTP/2
17182
Created On 10/11/23 19:12 PM - Last Modified 10/07/24 16:10 PM
Question
Qu’est-ce que CVE-2023-44487 - Attaque par réinitialisation rapide HTTP/2 ?
Answer
Au cours des derniers mois (août à octobre 2023), une faille de sécurité dans le protocole HTTP/2 connue sous le nom de Rapid Reset Attack est apparue. Cette attaque tire parti d’une fonctionnalité spécifique du protocole, permettant à un point de terminaison de réinitialiser rapidement une requête en envoyant une trame RST_STREAM immédiatement après une trame de demande.
En quoi HTTP/1.1 est-il différent de HTTP/2 ?
- En HTTP/1.1, les requêtes sont traitées les unes après les autres. Le serveur lit une requête, la traite, écrit une réponse, puis passe ensuite à la requête suivante.
- En HTTP/2, le client peut ouvrir plusieurs flux simultanés sur une seule connexion TCP. Chaque flux correspond à une requête HTTP. En théorie, le serveur peut contrôler le nombre maximal de flux ouverts simultanés, mais en pratique, les clients peuvent ouvrir plusieurs flux par requête, et le serveur traite ces demandes en parallèle.
Comment fonctionne l’attaque ?
L’attaque à réinitialisation rapide fonctionne en exploitant cette capacité. L’attaquant lance l’attaque en ouvrant un grand nombre de flux simultanément, un peu comme une attaque HTTP/2 typique. Cependant, au lieu d’attendre une réponse du serveur ou du proxy pour chaque requête, l’attaquant annule rapidement chaque requête immédiatement après l’avoir envoyée.Le principal avantage de cette attaque réside dans la possibilité de réinitialiser les flux instantanément. Cela permet à un nombre indéfini de requêtes d’être en cours simultanément sur chaque connexion. En annulant explicitement les requêtes, l’attaquant ne dépasse jamais la limite du nombre de flux ouverts simultanés. Par conséquent, le nombre de requêtes en cours n’est plus déterminé par le temps d’aller-retour (RTT), mais uniquement par la bande passante réseau disponible.
La source : Google
À la suite de l’attaque HTTP/2 Rapid Reset, un déni de service (consommation de ressources du serveur) peut se produire. La méthodologie d’attaque permet l’annulation de nombreux flux en succession rapide, ce qui entraîne l’épuisement des ressources côté serveur. Il est important de noter que la connexion HTTP/2 reste ouverte malgré l’annulation des requêtes.Il est crucial que les fournisseurs de services Web et les développeurs soient conscients de cette vulnérabilité et prennent les contre-mesures nécessaires pour protéger leurs systèmes contre les attaques potentielles.
Renseignements sur la couverture
Palo Alto Networks a publié UTID : 40152 et 94441 et une mise à jour pour le décodeur http2 le 16 octobre 2023. Recherchez ces ID de menace dans ThreatValut (https://threatvault.paloaltonetworks.com/) pour plus d’informations sur les signatures.Vous trouverez ci-dessous le lien vers notre avis sur les produits pour plus d’informations concernant l’impact sur les produits Palo Alto Networks :
https://security.paloaltonetworks.com/CVE-2023-44487
Additional Information
Liens vers des documents justificatifs, des mises en garde ou d’autres informations générales utiles qui ne sont pas strictement un symptôme, un environnement, une cause ou une résolution.
- https://cloud.google.com/blog/products/identity-security/how-it-works-the-novel-http2-rapid-reset-ddos-attack
- https://blog.cloudflare.com/technical-breakdown-http2-rapid-reset-ddos-attack/
- https://arstechnica.com/security/2023/10/how-ddosers-used-the-http-2-protocol-to-deliver-attacks-of-unprecedented-size/
- https://security.paloaltonetworks.com/CVE-2023-44487
- https://nvd.nist.gov/vuln/detail/CVE-2023-44487