I ricercatori di Imperva hanno analizzato a fondo le principali implementazioni di HTTP/2, evidenziando in tutti i casi la presenza di vulnerabilità ad alto grado di pericolosità: il nuovo protocollo di trasmissione dei dati per siti e servizi Web aumenta, piuttosto che diminuire, i rischi per le comunicazioni tra client e server.
Presentato in occasione dell’ultima conferenza Black Hat , il lavoro di ricerca di Imperva ha preso di mira le implementazioni di server HTTP/2 realizzate da Apache, Microsoft, NGINX, Jetty e nghttp2. Il risultato? Quattro vulnerabilità di sicurezza agilmente sfruttabili dai cyber-criminali, due delle quali erano già presenti (e abusate) nel protocollo HTTP/1.x.
HTTP/2 si può compromettere tramite un attacco di “Slow Read”, spiegano i ricercatori, con il rallentamento estremo delle risposte da parte del client e quindi la creazione di una congestione nel traffico che può portare all’esecuzione di attacchi DDoS già sperimentati negli anni passati.
Una vulnerabilità del tutto nuova di HTTP/2 è invece “HPACK Bomb”, vale a dire una compressione a strati che ricorda una “bomba zip” e viene sfruttata attraverso la trasmissione di messaggi apparentemente innocui: il nuovo protocollo è progettato per comprimere i dati dell’header, e all’atto dell’esplosione la bomba digitale porta alla consunzione delle risorse del server con conseguente crash.
HTTP/2 è inoltre vulnerabile a un “Dependency Cycle Attack”, capace di sovvertire il controllo del flusso di dati (introdotto nello standard per ottimizzare le prestazioni di rete) e di bloccare il server in un loop infinito, e uno “Stream Multiplexing Abuse” che permette di mandare in crash il server sfruttando le falle nell’implementazione del meccanismo di multiplexing dello standard.
Il protocollo HTTP/2 presenta una serie di novità pensate per migliorare le prestazioni di rete soprattutto su gadget mobile, spiegano da Imperva , ma l’adozione di grandi quantità di nuovo codice in un breve lasso di tempo non ha fatto altro che incrementare a dismisura la superficie di attacco a disposizione dei cyber-criminali più aggiornati.
Alfonso Maruccia