I possibili bug di HTTP/2 discussi al Black Hat 2016

HTTP/2 è il nuovo standard per le comunicazioni Web che sostituirà presto il vetusto HTTP 1.1, introducendo consistenti miglioramenti che dovrebbero portare ad una maggiore velocità e sicurezza per quello che riguarda il Web. Al Black Hat 2016 a Las Vegas, la conferenza dove annualmente si discutono i problemi di sicurezza, i ricercatori hanno esposto però quelli che sembrano difetti potenziali del nuovo protocollo. Tom Van Goethem e Mathy Vanhoef hanno descritto una vulnerabilità che chiamano HEIST (HTTP Encrypted Information can be Stolen through TCP-windows… assegnare i nomi è sempre complicato!), un attacco che consente di determinare la dimensione esatta delle risposte TCP e rende più semplici vecchie modalità di attacco perchè i protocolli SSL/TLS non fanno nulla per oscurare la lunghezza dei pacchetti.

“Concretamente, questo significa che attacchi basati sulla compressone come il CRIME o il BREACH possono essere eseguiti direttamente nel browser, da qualsiasi sito Web o script malevolo e senza che sia necessaria una posizione man-in-the-middle. Inoltre, noi dimostriamo anche come i nostri attacchi basati sulla dimensione [dei pacchetti] possano essere usati per ottenere informazioni sensibili da vittime ignare, conducendo abusi di servizi su siti Web popolari”, hanno dichiarato.

I ricercatori sono stati inoltre in grado di aumentare gli effetti dannosi degli attacchi utilizzando in modo malevolo funzionalità del nuovo protocollo HTTP/2, in particolare la sua capacità di usare una connessione TCP unica per lanciare richieste in parallelo. Mitigare questi attacchi sarebbe molto difficile ed una, se non l’unica, delle poche misure possibili è quella di disabilitare i cookie di terze parti.

Contemporaneamente, Imperva ha presentato un report che descrive vettori di attacco nel protocollo HTTP/2 che aprono vulnerabilità in cinque popolari implementazioni server del protocollo stesso, incluso IIS di Microsoft, Apache, Nginx, Jetty e nghttpd.

“Nello studio abbiamo rilevato vulnerabilità in quasi tutte le componenti del nuovo protocollo HTTP/2”, affermano. “I quattro diversi vettori d’attacco che abbiamo scoperto sono Slow Read, HPACK (compressione), Dependency DoS e Stream abuse. Nei cinque server che abbiamo messo alla prova, tutti erano vulnerabili almeno ad uno dei vettori d’attacco, con Slow Read che era decisamente quello prevalente”.

Sebbene siano stati verificate solo cinque implementazioni, Imperva ha concluso che probabilmente le vulnerabilità esistono anche in altri server HTTP/2. L’azienda ha comunque lavorato con i produttori dei server per assicurarsi che le vulnerabilità fossero state corrette prima della pubblicazione del report.