Une faille a été trouvée dans la gestion des flux multiplexés dans le protocole HTTP/2.
De quoi s’agit-il ?
Le protocole HTTP/2 permet une attaque par dĂ©ni de service car l’annulation des requĂȘtes peut rĂ©initialiser de nombreuses connexions rapidement, comme cela a Ă©tĂ© exploitĂ© en conditions rĂ©elles.
Le score CVSS de cette faille est de 7.5.
AppelĂ©e HTTP/2 Rapid Reset, cette stratĂ©gie d’attaque tire parti d’une caractĂ©ristique spĂ©cifique de HTTP/2 : sa capacitĂ© Ă permettre la multiplexation de requĂȘtes au sein d’une seule connexion TCP.
Les attaquants Ă©tablissent plusieurs connexions HTTP/2 dans lesquelles ils envoient des requĂȘtes immĂ©diatement suivies de rĂ©initialisations (trames RST_STREAM).
Cette mĂ©thode a pour rĂ©sultat de submerger le serveur sans franchir la limite de flux simultanĂ©s, car le serveur se trouve impuissant face Ă ces rĂ©initialisations, Ă©tant donnĂ© qu’elles sont prises unilatĂ©ralement par le client, et le serveur n’a pas la capacitĂ© de les contrer ou de les refuser.
Produits affectés :
Serveurs web utilisant le protocole HTTP/2.
Potentielles conséquences :
– Perturbation du fonctionnement du serveur,
– Impact sur la disponibilitĂ© des sites web,
– PossibilitĂ© de violation de donnĂ©es et de vol d’informations sensibles.
Remédiation :
- Attente de correctifs officiels de la part des Ă©diteurs ainsi que des mainteneurs de produits open-source.
Correctifs temporaires :
Pour les serveurs web utilisant NGINX, il est possible dâattĂ©nuer la vulnĂ©rabilitĂ© en modifiant certains paramĂštres dont :
â Mettre le paramĂštre keepalive_requests par dĂ©faut (1000 requĂȘtes).
â Mettre le paramĂštre http2_max_concurrent_streams par dĂ©faut (1000 streams).
â limit_conn et limit_req doivent ĂȘtre fixĂ©s avec un paramĂštre Ă©quilibrant les performances de l’application et la sĂ©curitĂ©.
DĂ©sactivation du protocole HTTP/2 en utilisant lâĂ©diteur de registre.
Recommandations complémentaires :
Utilisez les dispositifs de sécurité du SI : SIEM, EDR ou contactez votre prestataire de supervision de votre cybersécurité (SOC managé).
> Ne pas laissez ce type de services exposés et sans protection. ITrust vous propose des outils pour détecter les cybermenaces, ransomwares, virus, et comportements anormaux au sein de votre SI, comme notre SIEM Reveelium UEBA.
> Scannez rĂ©guliĂšrement votre rĂ©seau, afin de dĂ©tecter les failles de sĂ©curitĂ© et les correctifs Ă appliquer. Notre scanner de vulnĂ©rabilitĂ© IKare, disponible en version dâessai gratuite, permet de dĂ©tecter les nouvelles failles de sĂ©curitĂ©.
Si vous avez besoin d’aide pour corriger ces failles, appelez nous. (05.67.34.67.80)
*Sources :
https://gist.github.com/adulau/7c2bfb8e9cdbe4b35a5e131c66a0c088https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-44487https://blog.cloudflare.com/technical-breakdown-http2-rapid-reset-ddos-attack/
