Sicherheitsforscher haben eine neue Denial-of-Service-Angriffsmethode entdeckt, mit der sich Webserver innert Sekunden lahmlegen lassen. Wie "Bleeping Computer"
berichtet, trägt die DoS-Methode die Bezeichnung "HTTP/2 Bomb" und kann von einem einzigen PC aus ausgeführt werden. Angriffe sollen bei quasi allen gängigen Webservern erfolgreich sein, inklusive Ngingx, Apache, Microsofts IIS, Envoy oder Cloudflares Pingora.
HTTP/2 Bomb kombiniert die beiden DoS-Angriffsmethoden HPACK Kompressionsverstärkung, die für die Header-Komprimierung benötigt wird, und die sogenannte Ressourcenbildung via HTTP/2-Flusskontrollverzögerung. In Kombination eingesetzt vermag ein Client mit einer 100-Mpbs-Verbindung innerhalb von Sekunden Dutzende von Gigabyte Arbeitsspeicher beim Webserver zu belegen. Bei den Webservern Apache und Envoy soll es so möglich sein, innert 20 Sekunden 32 GB Speicher zu blockieren; beim IIS brauchte es 45 Sekunden, um 64 GB RAM zu belegen.
Die detaillierte Funktionsweise der Angriffsmethode soll anlässlich der Real World AI Security Conference offengelegt werden, die Ende Monat an der Stanford University über die Bühne geht. Ein Proof of Concept wurde bereits auf Github
veröffentlicht.
Laut "Bleeping Computer" liegen für die Webserver Ngingx und Apache mittlerweile gepachte Versionen vor. Bei IIS, Envoy und Pingora wird indessen geraten, HTTP/2 zu deaktivieren oder einen Proxy oder eine Firewall vorzuschalten, welche Header-Begrenzungen setzen.
(rd)
