Súlyos hiba miatt foghatnak padlót a webszerverek

A HTTP/2 Bomb támadások révén a legszélesebb körben alkalmazott webszerverek kényszeríthetők térdre.
 

Az AI ismét bizonyítékot szolgáltatott arra, hogy a biztonsági rendellenességek feltárásában megvan a maga helye és szerepe. Az OpenAI Codex révén ugyanis egy olyan támadási technikát sikerült kidolgozni, amivel webszerverek millió lehetnek megbéníthatók. Ráadásul olyan sérülékenységek révén, amik évek óta ismertek. Az AI tulajdonképpen nem tett mást, mint felismerte, hogy ezek kombinálhatók, és ilyen módon egy új támadási felületet jelentenek.
 
A sebezhetőségre a Calif kiberbiztonsági vállalat szakértői derítettek fényt az OpenAI Codex ügynökének alkalmazásával. A biztonsági probléma valójában nem egy konkrét hibára vezethető vissza, mivel egy sérülékenységi láncon keresztül vezethet károkozásokhoz.
 
A szakemberek felhívták a figyelmet, hogy e sérülékenységi láncban helyet kapó biztonsági rések közül három már évek óta ismert, míg egy negyedik tavaly került nyilvánosságra. Ezek kombinálásával azonban egy újabb sérülékeny pont keletkezik az érintett szervereken, ami speciálisan összeállított HTTP/2 kérésekkel, és speciálisan szerkesztett HPACK header értékekkel válhat kihasználhatóvá. Ez esetben a célkeresztbe állított szerver nem tudja megfelelően elvégezni a memóriafelszabadítást, aminek következtében megbénul, válaszképtelenné válik.
 
A kutatók szerint a hiba kockázatát jelentősen fokozza, hogy a kiaknázásához nincs szükség komolyabb erőforrásokra, mivel az akár egy otthoni PC-ről, 100 Mbps-os sávszélesség mellett is végrehajtható a HTTP/2 Bomb támadás.
 
A sebezhetőség a következőket érinti:

• NGINX
• Apache HTTPD
• Microsoft IIS
• Envoy
• Cloudflare Pingora

 
Az NGINX-hez és az Apache webszerveréhez már elérhetővé váltak a patch-ek. A Microsoft egyelőre még nem reagált hibajavítással a sebezhetőségre.
 
További információk a Biztonságportál Prémium weboldalain olvashatók.