Alfonso Maruccia

HTTP/2, una manna per i cyber-criminali

Il nuovo protocollo Web Ŕ vulnerabile ad attacchi molto pericolosi, avvertono i ricercatori di sicurezza, e in due casi su quattro si tratta di falle giÓ presenti nella versione precedente dello standard

Roma - I ricercatori di Imperva hanno analizzato a fondo le principali implementazioni di HTTP/2, evidenziando in tutti i casi la presenza di vulnerabilità ad alto grado di pericolosità: il nuovo protocollo di trasmissione dei dati per siti e servizi Web aumenta, piuttosto che diminuire, i rischi per le comunicazioni tra client e server.

Presentato in occasione dell'ultima conferenza Black Hat, il lavoro di ricerca di Imperva ha preso di mira le implementazioni di server HTTP/2 realizzate da Apache, Microsoft, NGINX, Jetty e nghttp2. Il risultato? Quattro vulnerabilità di sicurezza agilmente sfruttabili dai cyber-criminali, due delle quali erano già presenti (e abusate) nel protocollo HTTP/1.x.

HTTP/2 si può compromettere tramite un attacco di "Slow Read", spiegano i ricercatori, con il rallentamento estremo delle risposte da parte del client e quindi la creazione di una congestione nel traffico che può portare all'esecuzione di attacchi DDoS già sperimentati negli anni passati.
Una vulnerabilità del tutto nuova di HTTP/2 è invece "HPACK Bomb", vale a dire una compressione a strati che ricorda una "bomba zip" e viene sfruttata attraverso la trasmissione di messaggi apparentemente innocui: il nuovo protocollo è progettato per comprimere i dati dell'header, e all'atto dell'esplosione la bomba digitale porta alla consunzione delle risorse del server con conseguente crash.

HTTP/2 è inoltre vulnerabile a un "Dependency Cycle Attack", capace di sovvertire il controllo del flusso di dati (introdotto nello standard per ottimizzare le prestazioni di rete) e di bloccare il server in un loop infinito, e uno "Stream Multiplexing Abuse" che permette di mandare in crash il server sfruttando le falle nell'implementazione del meccanismo di multiplexing dello standard.

Il protocollo HTTP/2 presenta una serie di novità pensate per migliorare le prestazioni di rete soprattutto su gadget mobile, spiegano da Imperva, ma l'adozione di grandi quantità di nuovo codice in un breve lasso di tempo non ha fatto altro che incrementare a dismisura la superficie di attacco a disposizione dei cyber-criminali più aggiornati.

Alfonso Maruccia
Notizie collegate
  • TecnologiaHTTP/2 è quasi standardAnnunciata la finalizzazione del nuovo protocollo di trasmissione dati per i servizi e i siti Web, una revisione focalizzata sulle performance e che deve molto al lavoro di sviluppo degli ingegneri di Google su SPDY
  • SicurezzaHEIST, vulnerabilità HTTPS di servizioLa nuova vulnerabilitÓ presentata alla conferenza Black Hat 2016 semplifica l'esecuzione di altri attacchi giÓ noti. I ricercatori avvertono: prepararsi all'impatto
7 Commenti alla Notizia HTTP/2, una manna per i cyber-criminali
Ordina