27 Ottobre 2023

HTTP/2 Rapid Reset: Una Nuova Vulnerabilità nel Protocollo e gli Impatti sui Servizi Cloud

Esploriamo la Vulnerabilità HTTP/2 Rapid Reset: Come Funziona, le Sue Implicazioni e le Misure di Sicurezza Necessarie per la Tua Infrastruttura Web

Introduzione

Recentemente, colossi tecnologici come Google, Amazon, Microsoft e Cloudflare hanno rivelato di aver affrontato attacchi DDoS massicci contro la loro infrastruttura cloud. Gli attacchi erano tanto unici quanto pericolosi, poiché sfruttavano una vulnerabilità in un protocollo web fondamentale: HTTP/2. Questo articolo mira a spiegare la gravità della situazione e cosa significa per le aziende e i singoli che utilizzano servizi web.

Cos’è HTTP/2 Rapid Reset?

La vulnerabilità nota come “HTTP/2 Rapid Reset” è stata segnalata con l’identificativo CVE-2023-44487 e sfrutta una debolezza nel protocollo HTTP/2. Non permette di prendere il controllo remoto di un server né di esfiltrare dati, ma permette agli aggressori di portare a termine attacchi di tipo Denial of Service (DoS). Secondo Emil Kiner e Tim April di Google Cloud, una simile perdita di disponibilità può avere un “impatto su larga scala sulle organizzazioni vittime, inclusa la perdita di affari e l’indisponibilità di applicazioni mission-critical”.

Come Funziona l’Attacco?

L’attacco sfrutta la funzione di cancellazione di flusso (stream cancellation) di HTTP/2 per inviare e annullare continuamente le richieste, sovraccaricando il server o l’applicazione target e imponendo uno stato di DoS. Gli attori malevoli utilizzano questa tecnica fin da agosto per inviare una raffica di richieste e reset HTTP/2 (quadri RST_Stream) su un server, chiedendo al server di elaborarli e eseguire rapidi reset, superando così la sua capacità di rispondere alle nuove richieste in arrivo.

Diagramma-HTTP2-Reset-Attack

Salvaguardie Inefficaci

HTTP/2 include una misura di sicurezza sotto forma di un parametro che limita il numero di flussi attivi contemporaneamente per prevenire attacchi DoS. Tuttavia, questa misura non è sempre efficace. Gli sviluppatori del protocollo hanno introdotto una misura più efficiente chiamata “cancellazione della richiesta” (request cancelation), che non interrompe l’intera connessione, ma che può essere abusata.

Dettagli Tecnici

Come spiega Google nel suo post sull’argomento, “il protocollo non richiede che il client e il server coordinino la cancellazione in alcun modo; il client può farlo unilateralmente”. Questo significa che il client può assumere che la cancellazione avrà effetto immediatamente quando il server riceve il frame RST_STREAM, prima che venga elaborato qualsiasi altro dato da quella connessione TCP.

Da Dove Proviene la Vulnerabilità?

La vulnerabilità è insita nella specifica del protocollo HTTP/2, sviluppato dall’Internet Engineering Task Force (IETF). Questo protocollo è stato adottato su larga scala ed è il successore più rapido ed efficiente del classico protocollo HTTP. La vulnerabilità è quindi rilevante per “ogni moderno web server”, come sottolineato da Lucas Pardue e Julien Desgats di Cloudflare.

Perché è così Difficile da Risolvere?

A differenza di un bug in un software specifico, che può essere corretto da una singola entità, una vulnerabilità in un protocollo richiede un approccio molto più diffuso per essere mitigata. Ogni sito web implementa la specifica a modo suo, e quindi ogni organizzazione o individuo deve lavorare alle proprie protezioni.

Open Source come Vantaggio

Dan Lorenc, esperto di software open source, suggerisce che la disponibilità di codice sorgente aperto è un vantaggio in situazioni come questa. Molti server web hanno probabilmente copiato la loro implementazione HTTP/2 da un’altra fonte, facilitando così la diffusione di patch di sicurezza.

Cosa Dovrebbero Fare le Aziende?

Per le aziende focalizzate sulle web performance, come noi, è cruciale rimanere aggiornati su queste minacce emergenti e implementare le patch di sicurezza necessarie il prima possibile. È fondamentale consultare le risorse ufficiali per le ultime patch e applicarle ai propri server web. Tuttavia, la piena adozione di queste patch richiederà anni, e alcuni servizi che hanno implementato HTTP/2 da zero potrebbero rimanere vulnerabili a lungo termine.

Conclusione

Anche se gli attacchi DDoS recenti sono stati respinti con successo, hanno svelato l’esistenza di una vulnerabilità del protocollo che ora deve essere affrontata su scala globale. È un promemoria potente di quanto sia cruciale mantenere un approccio proattivo alla sicurezza informatica e alla protezione dei propri asset digitali.

Per ulteriori informazioni su come proteggere la vostra infrastruttura, non esitate a contattarci o a consultare le nostre altre risorse sul blog, dove discutiamo di temi come sistemistica Linux, MySQL, Database, Cloud AWS e ottimizzazione delle performance.

Hai dei dubbi? Non sai da dove iniziare? Contattaci !

Abbiamo tutte le risposte alle tue domande per aiutarti nella giusta scelta.

Chatta con noi

Chatta direttamente con il nostro supporto prevendita.

0256569681

Contattaci telefonicamente negli orari d’ufficio 9:30 – 19:30

Contattaci online

Apri una richiesta direttamente nell’area dei contatti.

DISCLAIMER, Note Legali e Copyright. Red Hat, Inc. detiene i diritti su Red Hat®, RHEL®, RedHat Linux®, e CentOS®; AlmaLinux™ è un marchio di AlmaLinux OS Foundation; Rocky Linux® è un marchio registrato di Rocky Linux Foundation; SUSE® è un marchio registrato di SUSE LLC; Canonical Ltd. detiene i diritti su Ubuntu®; Software in the Public Interest, Inc. detiene i diritti su Debian®; Linus Torvalds detiene i diritti su Linux®; FreeBSD® è un marchio registrato di The FreeBSD Foundation; NetBSD® è un marchio registrato di The NetBSD Foundation; OpenBSD® è un marchio registrato di Theo de Raadt; Oracle Corporation detiene i diritti su Oracle®, MySQL®, MyRocks®, VirtualBox® e ZFS®; Percona® è un marchio registrato di Percona LLC; MariaDB® è un marchio registrato di MariaDB Corporation Ab; PostgreSQL® è un marchio registrato di PostgreSQL Global Development Group; SQLite® è un marchio registrato di Hipp, Wyrick & Company, Inc.; KeyDB® è un marchio registrato di EQ Alpha Technology Ltd.; Typesense® è un marchio registrato di Typesense Inc.; REDIS® è un marchio registrato di Redis Labs Ltd; F5 Networks, Inc. detiene i diritti su NGINX® e NGINX Plus®; Varnish® è un marchio registrato di Varnish Software AB; HAProxy® è un marchio registrato di HAProxy Technologies LLC; Traefik® è un marchio registrato di Traefik Labs; Envoy® è un marchio registrato di CNCF; Adobe Inc. detiene i diritti su Magento®; PrestaShop® è un marchio registrato di PrestaShop SA; OpenCart® è un marchio registrato di OpenCart Limited; Automattic Inc. detiene i diritti su WordPress®, WooCommerce®, e JetPack®; Open Source Matters, Inc. detiene i diritti su Joomla®; Dries Buytaert detiene i diritti su Drupal®; Shopify® è un marchio registrato di Shopify Inc.; BigCommerce® è un marchio registrato di BigCommerce Pty. Ltd.; TYPO3® è un marchio registrato di TYPO3 Association; Ghost® è un marchio registrato di Ghost Foundation; Amazon Web Services, Inc. detiene i diritti su AWS® e Amazon SES®; Google LLC detiene i diritti su Google Cloud™, Chrome™, e Google Kubernetes Engine™; Alibaba Cloud® è un marchio registrato di Alibaba Group Holding Limited; DigitalOcean® è un marchio registrato di DigitalOcean, LLC; Linode® è un marchio registrato di Linode, LLC; Vultr® è un marchio registrato di The Constant Company, LLC; Akamai® è un marchio registrato di Akamai Technologies, Inc.; Fastly® è un marchio registrato di Fastly, Inc.; Let’s Encrypt® è un marchio registrato di Internet Security Research Group; Microsoft Corporation detiene i diritti su Microsoft®, Azure®, Windows®, Office®, e Internet Explorer®; Mozilla Foundation detiene i diritti su Firefox®; Apache® è un marchio registrato di The Apache Software Foundation; Apache Tomcat® è un marchio registrato di The Apache Software Foundation; PHP® è un marchio registrato del PHP Group; Docker® è un marchio registrato di Docker, Inc.; Kubernetes® è un marchio registrato di The Linux Foundation; OpenShift® è un marchio registrato di Red Hat, Inc.; Podman® è un marchio registrato di Red Hat, Inc.; Proxmox® è un marchio registrato di Proxmox Server Solutions GmbH; VMware® è un marchio registrato di Broadcom Inc.; CloudFlare® è un marchio registrato di Cloudflare, Inc.; NETSCOUT® è un marchio registrato di NETSCOUT Systems Inc.; ElasticSearch®, LogStash®, e Kibana® sono marchi registrati di Elastic N.V.; Grafana® è un marchio registrato di Grafana Labs; Prometheus® è un marchio registrato di The Linux Foundation; Zabbix® è un marchio registrato di Zabbix LLC; Datadog® è un marchio registrato di Datadog, Inc.; Ceph® è un marchio registrato di Red Hat, Inc.; MinIO® è un marchio registrato di MinIO, Inc.; Mailgun® è un marchio registrato di Mailgun Technologies, Inc.; SendGrid® è un marchio registrato di Twilio Inc.; Postmark® è un marchio registrato di ActiveCampaign, LLC; cPanel®, L.L.C. detiene i diritti su cPanel®; Plesk® è un marchio registrato di Plesk International GmbH; Hetzner® è un marchio registrato di Hetzner Online GmbH; OVHcloud® è un marchio registrato di OVH Groupe SAS; Terraform® è un marchio registrato di HashiCorp, Inc.; Ansible® è un marchio registrato di Red Hat, Inc.; cURL® è un marchio registrato di Daniel Stenberg; Facebook®, Inc. detiene i diritti su Facebook®, Messenger® e Instagram®. Questo sito non è affiliato, sponsorizzato o altrimenti associato a nessuna delle entità sopra menzionate e non rappresenta nessuna di queste entità in alcun modo. Tutti i diritti sui marchi e sui nomi di prodotto menzionati sono di proprietà dei rispettivi detentori di copyright. Ogni altro marchio citato appartiene ai propri registranti. MANAGED SERVER® è un marchio registrato a livello europeo da MANAGED SERVER SRL, con sede legale in Via Flavio Gioia, 6, 62012 Civitanova Marche (MC), Italia e sede operativa in Via Enzo Ferrari, 9, 62012 Civitanova Marche (MC), Italia.

SOLO UN ATTIMO !

Ti sei mai chiesto se il tuo Hosting faccia schifo ?

Scopri subito se il tuo hosting provider ti sta danneggiando con un sito lento degno del 1990 ! Risultato immediato.

Close the CTA
Torna in alto