Une faille a été trouvée dans la gestion des flux multiplexés dans le protocole HTTP/2.

De quoi s’agit-il ?

Le protocole HTTP/2 permet une attaque par dĂ©ni de service car l’annulation des requĂŞtes peut rĂ©initialiser de nombreuses connexions rapidement, comme cela a Ă©tĂ© exploitĂ© en conditions rĂ©elles.

Le score CVSS de cette faille est de 7.5.

AppelĂ©e HTTP/2 Rapid Reset, cette stratĂ©gie d’attaque tire parti d’une caractĂ©ristique spĂ©cifique de HTTP/2 : sa capacitĂ© Ă  permettre la multiplexation de requĂŞtes au sein d’une seule connexion TCP.
Les attaquants établissent plusieurs connexions HTTP/2 dans lesquelles ils envoient des requêtes immédiatement suivies de réinitialisations (trames RST_STREAM).
Cette mĂ©thode a pour rĂ©sultat de submerger le serveur sans franchir la limite de flux simultanĂ©s, car le serveur se trouve impuissant face Ă  ces rĂ©initialisations, Ă©tant donnĂ© qu’elles sont prises unilatĂ©ralement par le client, et le serveur n’a pas la capacitĂ© de les contrer ou de les refuser.

Produits affectés :
Serveurs web utilisant le protocole HTTP/2.

Potentielles conséquences :

– Perturbation du fonctionnement du serveur,
– Impact sur la disponibilitĂ© des sites web,
– PossibilitĂ© de violation de donnĂ©es et de vol d’informations sensibles.

Remédiation :

  • Attente de correctifs officiels de la part des Ă©diteurs ainsi que des mainteneurs de produits open-source.

Correctifs temporaires :

Pour les serveurs web utilisant NGINX, il est possible d’atténuer la vulnérabilité en modifiant certains paramètres dont :
● Mettre le paramètre keepalive_requests par défaut (1000 requêtes).
● Mettre le paramètre http2_max_concurrent_streams par défaut (1000 streams).
● limit_conn et limit_req doivent ĂŞtre fixĂ©s avec un paramètre Ă©quilibrant les performances de l’application et la sĂ©curitĂ©.
Désactivation du protocole HTTP/2 en utilisant l’éditeur de registre.

Recommandations complémentaires :

Utilisez les dispositifs de sécurité du SI : SIEM, EDR ou contactez votre prestataire de supervision de votre cybersécurité (SOC managé).

> Ne pas laissez ce type de services exposés et sans protection. ITrust vous propose des outils pour détecter les cybermenaces, ransomwares, virus, et comportements anormaux au sein de votre SI, comme notre SIEM Reveelium UEBA.

> Scannez régulièrement votre réseau, afin de détecter les failles de sécurité et les correctifs à appliquer. Notre scanner de vulnérabilité IKare, disponible en version d’essai gratuite, permet de détecter les nouvelles failles de sécurité.

Si vous avez besoin d’aide pour corriger ces failles, appelez nous. (05.67.34.67.80)

*Sources :
https://gist.github.com/adulau/7c2bfb8e9cdbe4b35a5e131c66a0c088https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-44487https://blog.cloudflare.com/technical-breakdown-http2-rapid-reset-ddos-attack/