[SECURITY-L] [RNP/CAIS Alerta #0127] Vulnerabilidade de DDoS no protocolo HTTP/2 (Rapid Reset)
CSIRT Unicamp
security em unicamp.br
Terça Outubro 24 09:57:45 -03 2023
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256
CAIS-Alerta [24-10-2023]: Vulnerabilidade de DDoS no protocolo HTTP/2
(Rapid Reset)
Prezados(as),
O CAIS alerta a comunidade de segurança cibernética para vulnerabilidade no
protocolo HTTP/2 identificado recentemente, que permite um ataque de
negação de serviço (consumo de recursos do servidor), por meio do alto
volume de envio e cancelamento de solicitações a um servidor vulnerável.
O protocolo HTTP/2 é amplamente utilizado por muitos sites e aplicativos
para comunicação pela internet.
1) Produtos e versões afetadas;
2) Identificadores CVE ([http://cve.mitre.org);]http://cve.mitre.org);
3) Descrição das vulnerabilidades, versões afetadas e formas de exploração;
4) Mitigação e correções disponíveis; e
5) Mais Informações.
1) Produtos e versões afetadas:
Verificar de acordo com o fornecedor
2) Identificadores CVE (http://cve.mitre.org):
CVE-2023-44487
3) Descrição da vulnerabilidade:
Esta vulnerabilidade no protocolo HTTP/2, chamada de Rapid Reset,
representa uma ameaça significativa. De acordo com diversas publicações de
fornecedores, está vulnerabilidade permite que usuários maliciosos
façam/executem (sua decisão) ataques DDoS massivos, enviando e cancelando
solicitações por meio do recurso RST_STREAM, causando o congestionamento e
sobrecarga dos servidores, o que resulta na sua incapacidade de responder
ao tráfego legítimo. Os ataques DDoS podem afetar qualquer servidor ou
aplicativo que suporte HTTP/2.
Esta vulnerabilidade foi classificada com Score CVSS 7,5 Alto
4) Mitigação e correções disponíveis:
O CAIS recomenda análise dos ambientes que utilizam este protocolo, e
implementação de mitigação conforme orientação de cada fornecedor.
5) Mais informações:
https://blog.cloudflare.com/technical-breakdown-http2-rapid-reset-ddos-attack/
https://blog.cloudflare.com/zero-day-rapid-reset-http2-record-breaking-ddos-attack/
https://www.cisa.gov/news-events/alerts/2023/10/10/http2-rapid-reset-vulnerability-cve-2023-44487
https://thehackernews.com/2023/10/http2-rapid-reset-zero-day.html
https://openssf.org/blog/2023/10/10/http-2-rapid-reset-vulnerability-highlights-need-for-rapid-response/
https://cve.mitre.org/cgi-bin/cvename.cgi?name=2023-44487
https://aws.amazon.com/security/security-bulletins/AWS-2023-011/
https://cloud.google.com/blog/products/identity-security/how-it-works-the-novel-http2-rapid-reset-ddos-attack
https://www.nginx.com/blog/http-2-rapid-reset-attack-impacting-f5-nginx-products/
https://blog.qualys.com/vulnerabilities-threat-research/2023/10/10/cve-2023-44487-http-2-rapid-reset-attack#:~:text=In%20mitigating%20HTTP%2F2
%20Rápido%20Redefinir%20ataques%2C%20a%20multifacetado,melhorar%20DDoS%20defesas%20by%20empregando%20várias%20mitigativas%20estratégias
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-44487
O CAIS recomenda que os administradores mantenham seus sistemas e
aplicativos sempre atualizados, de acordo com as últimas versões e
correções oferecidas pelos fabricantes.
Os alertas do CAIS também podem ser acompanhados pelas redes sociais da
RNP. Siga-nos!!
Twitter: @caisRNP
Facebook: facebook.com/RedeNacionaldeEnsinoePesquisaRNP.
################################################################
# CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS) #
# Rede Nacional de Ensino e Pesquisa (RNP) #
# #
# cais em cais.rnp.br https://cais.rnp.br/ #
# Tel. 019-37873300 Fax. 019-37873301 #
# Chave PGP disponível https://www.rnp.br/cais/cais-pgp.key #
################################################################
-----BEGIN PGP SIGNATURE-----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=HHLt
-----END PGP SIGNATURE-----
_______________________________________________
RNP-Alerta
rnp-alerta em listas.rnp.br
https://listas.rnp.br/mailman/listinfo/rnp-alerta
===
Computer Security Incident Response Team - CSIRT
Universidade Estadual de Campinas - Unicamp
Centro de Computacao - CCUEC
GnuPG Public Key: http://www.security.unicamp.br/security.asc [^]
Contato: +55 19 3521-2289 ou INOC-DBA: 1251*830
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: <http://www.listas.unicamp.br/pipermail/security-l/attachments/20231024/29ce12f6/attachment.html>
Mais detalhes sobre a lista de discussão SECURITY-L