🚨 NOVA NOTÍCIA EM DESTAQUE! 🚨
A notícia que você procurava está aqui!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Pesquisadores de segurança cibernética descobriram uma exploração remota de negação de serviço que afeta os principais servidores web, incluindo NGINX, Apache HTTPD, Microsoft IIS, Envoy e Cloudflare Pingora.
A vulnerabilidade recebeu o codinome HTTP/2 Bomb da Califórnia.
“O comportamento vulnerável existe na configuração HTTP/2 padrão de cada servidor”, disse a empresa, acrescentando que foi descoberto pelo OpenAI Codex encadeando duas técnicas conhecidas: uma bomba de compressão e uma retenção no estilo Slowloris.
“A bomba tem como alvo o HPACK, o esquema de compactação de cabeçalho do HTTP/2: um byte na conexão se torna uma alocação completa de cabeçalho no servidor, repetida milhares de vezes por solicitação”, acrescentou Calif. "A retenção é uma janela de controle de fluxo de zero bytes que impede o servidor de liberar qualquer parte dele."
HPACK é um algoritmo de compactação de cabeçalho dedicado para HTTP/2 usado para compactar metadados de solicitação e resposta usando codificação Huffman que resulta em uma redução média de 30% no tamanho do cabeçalho. Ele também foi projetado para ser resistente a ataques como CRIME (abreviação de "Compression Ratio Info-leak Made Easy"), que pode vazar cookies de autenticação de cabeçalhos compactados.
Slowloris, por outro lado, é um tipo de ataque de negação de serviço (DoS) que permite que um agente de ameaça sobrecarregue um servidor alvo, abrindo e mantendo muitas conexões HTTP simultâneas entre o invasor e o alvo. É um ataque à camada de aplicação.
HTTP/2 Bomb é inspirado em várias abordagens conhecidas, como HPACK Bomb (também conhecido como CVE-2016-6581), que foi divulgado pela primeira vez em 2016, bem como CVE-2025-53020, uma vulnerabilidade de esgotamento de memória na implementação HTTP/2 do Apache httpd e duas falhas de DoS no Apache HTTP Server por meio de quadros CONTINUATION criados (CVE-2016-8740) e privação de thread de trabalho (CVE-2016-1546) em uma conexão HTTP/2.
“A novidade aqui é de onde vem a amplificação”, disse Calif. "A bomba clássica insere um valor grande na tabela e faz referência a ele repetidamente, de modo que os servidores aprenderam a limitar o tamanho total do cabeçalho decodificado. Nossa variante segue o caminho inverso: o cabeçalho está quase vazio e a amplificação vem da contabilidade por entrada que o servidor aloca em torno dele. O limite de tamanho decodificado nunca é acionado porque não há quase nada para decodificar."
Em um cenário hipotético de ataque, um computador doméstico conectado a uma conexão de 100 Mbps tem o potencial de tornar um servidor vulnerável inacessível em segundos. Além do mais, um único cliente pode consumir e armazenar 32 GB de memória do servidor no Apache HTTPD e no Envoy em cerca de 20 segundos.
Para combater a vulnerabilidade, é aconselhável aplicar as seguintes mitigações -
NGINX - Atualização para 1.29.8+, que adiciona a diretiva max_headers com um padrão de 1000. Se a atualização não for uma opção, é recomendado desabilitar HTTP/2 com http2 desligado;.
Apache HTTPD - Corrigido no mod_http2 v2.0.41. Se a atualização não for uma opção, é recomendável definir os protocolos http/1.1 para desabilitar o HTTP/2.
Microsoft IIS, Envoy e Cloudflare Pingora – Nenhum patch disponível no momento da escrita.
“A falha mais profunda é que o risco de memória dos quadros de especificações é puramente como uma taxa de amplificação, e a proporção é apenas metade da equação”, disse Calif. "Um amplificador 70:1 é inofensivo se a memória for liberada quando a solicitação for concluída. Torna-se um ataque porque o HTTP/2 permite que o cliente mantenha a conexão aberta quase de graça, fixando cada byte alocado pelo tempo que desejar."
A vulnerabilidade recebeu o codinome HTTP/2 Bomb da Califórnia.
“O comportamento vulnerável existe na configuração HTTP/2 padrão de cada servidor”, disse a empresa, acrescentando que foi descoberto pelo OpenAI Codex encadeando duas técnicas conhecidas: uma bomba de compressão e uma retenção no estilo Slowloris.
“A bomba tem como alvo o HPACK, o esquema de compactação de cabeçalho do HTTP/2: um byte na conexão se torna uma alocação completa de cabeçalho no servidor, repetida milhares de vezes por solicitação”, acrescentou Calif. "A retenção é uma janela de controle de fluxo de zero bytes que impede o servidor de liberar qualquer parte dele."
HPACK é um algoritmo de compactação de cabeçalho dedicado para HTTP/2 usado para compactar metadados de solicitação e resposta usando codificação Huffman que resulta em uma redução média de 30% no tamanho do cabeçalho. Ele também foi projetado para ser resistente a ataques como CRIME (abreviação de "Compression Ratio Info-leak Made Easy"), que pode vazar cookies de autenticação de cabeçalhos compactados.
Slowloris, por outro lado, é um tipo de ataque de negação de serviço (DoS) que permite que um agente de ameaça sobrecarregue um servidor alvo, abrindo e mantendo muitas conexões HTTP simultâneas entre o invasor e o alvo. É um ataque à camada de aplicação.
HTTP/2 Bomb é inspirado em várias abordagens conhecidas, como HPACK Bomb (também conhecido como CVE-2016-6581), que foi divulgado pela primeira vez em 2016, bem como CVE-2025-53020, uma vulnerabilidade de esgotamento de memória na implementação HTTP/2 do Apache httpd e duas falhas de DoS no Apache HTTP Server por meio de quadros CONTINUATION criados (CVE-2016-8740) e privação de thread de trabalho (CVE-2016-1546) em uma conexão HTTP/2.
“A novidade aqui é de onde vem a amplificação”, disse Calif. "A bomba clássica insere um valor grande na tabela e faz referência a ele repetidamente, de modo que os servidores aprenderam a limitar o tamanho total do cabeçalho decodificado. Nossa variante segue o caminho inverso: o cabeçalho está quase vazio e a amplificação vem da contabilidade por entrada que o servidor aloca em torno dele. O limite de tamanho decodificado nunca é acionado porque não há quase nada para decodificar."
Em um cenário hipotético de ataque, um computador doméstico conectado a uma conexão de 100 Mbps tem o potencial de tornar um servidor vulnerável inacessível em segundos. Além do mais, um único cliente pode consumir e armazenar 32 GB de memória do servidor no Apache HTTPD e no Envoy em cerca de 20 segundos.
Para combater a vulnerabilidade, é aconselhável aplicar as seguintes mitigações -
NGINX - Atualização para 1.29.8+, que adiciona a diretiva max_headers com um padrão de 1000. Se a atualização não for uma opção, é recomendado desabilitar HTTP/2 com http2 desligado;.
Apache HTTPD - Corrigido no mod_http2 v2.0.41. Se a atualização não for uma opção, é recomendável definir os protocolos http/1.1 para desabilitar o HTTP/2.
Microsoft IIS, Envoy e Cloudflare Pingora – Nenhum patch disponível no momento da escrita.
“A falha mais profunda é que o risco de memória dos quadros de especificações é puramente como uma taxa de amplificação, e a proporção é apenas metade da equação”, disse Calif. "Um amplificador 70:1 é inofensivo se a memória for liberada quando a solicitação for concluída. Torna-se um ataque porque o HTTP/2 permite que o cliente mantenha a conexão aberta quase de graça, fixando cada byte alocado pelo tempo que desejar."
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #nova #vulnerabilidade #de #bomba #http/2 #permite #dos #remoto #em #nginx, #apache, #iis, #envoy #e #cloudflare
🚀 Mais conteúdos incríveis estão por vir, fique atento!
Postar um comentário