Investigadores publicaron recientemente varios artículos sobre nuevos ataques de desincronización (desync) HTTP / 2 contra cadenas de proxy que contienen un proxy HTTP / 2 a HTTP / 1. En base a esto F5 ha emitido distintos artículos para abordar este problema.
HTTP/2 desync attacks
Los ataques de desync HTTP / 2 ocurren cuando varios dispositivos en una cadena de proxy están manejando solicitudes HTTP / 2 maliciosas y no aplican una lógica consistente. Esta falla puede permitir que un atacante:
Construya una solicitud que altere las sesiones de los usuarios legítimos.
Omita los mecanismos de seguridad configurados.
Provocar otro comportamiento inesperado. El comportamiento exacto difiere según los productos y servidores específicos implementados en la cadena de proxy.
Escenario F5
Sistema BIG-IP configurado con un servidor virtual que tiene un perfil HTTP / 2 del lado del cliente.
El servidor virtual traduce las solicitudes HTTP / 2 del lado del cliente en solicitudes HTTP / 1 y las envía a los miembros del grupo del lado del servidor. Esto se debe a que el sistema BIG-IP no tiene un perfil HTTP / 2 del lado del servidor o es una versión BIG-IP que no admite HTTP / 2 en el lado del servidor. (El soporte del lado del servidor para HTTP / 2 se introdujo en BIG-IP 14.1.0).
Acciones recomendadas
Asegúrese de que todos los dispositivos de todas las cadenas de proxy respeten las RFC y se comporten de manera predecible y coherente. Por ejemplo, asegúrese de que la cadena de proxy BIG-IP-system — API-gateway — web-server proxy se comporte de manera predecible.
Ataques de desincronización BIG-IP LTM HTTP / 2: Inyección de línea de solicitud
Un atacante puede manipular una solicitud HTTP / 2 para inyectar un elemento malicioso en la línea de solicitud HTTP / 1 en el lado del servidor. Si el sistema BIG-IP afectado traduce las solicitudes de HTTP / 2 a HTTP / 1 sin una desinfección adecuada, esto puede provocar que las solicitudes HTTP inesperadas lleguen al miembro del grupo de servidores de destino.
Impacto
Las solicitudes HTTP / 2 maliciosas pueden traducirse a solicitudes HTTP / 1 y enviarse al servidor web del miembro del grupo. Dependiendo del comportamiento del servidor web del miembro del grupo, esto puede conducir a un ataque de contrabando de solicitudes HTTP. Cuando el servidor virtual afectado está configurado con el perfil OneConnect, un atacante puede afectar las respuestas enviadas a un cliente diferente.
Síntomas
Como resultado de este problema, puede encontrar el siguiente síntoma:
El sistema BIG-IP puede pasar solicitudes maliciosas a los miembros del grupo del lado del servidor.
Solución alterna
Bloqueo de solicitudes HTTP con formato incorrecto mediante el sistema BIG-IP ASM / Advanced WAF
Ataques de desincronización BIG-IP LTM HTTP / 2: exposición de seguridad de ubicación de CRLF maliciosa
Impacto
Las solicitudes HTTP / 2 maliciosas pueden traducirse en solicitudes HTTP / 1 y enviarse al servidor web del miembro del grupo. Dependiendo del comportamiento del servidor web del miembro del grupo, esto puede conducir a un ataque de contrabando de solicitudes HTTP. Cuando el servidor virtual afectado está configurado con el perfil OneConnect, un atacante puede afectar las respuestas enviadas a un cliente diferente.
Síntomas
Como resultado de este problema, puede encontrar el siguiente síntoma:
Las solicitudes maliciosas se pueden pasar a los miembros del grupo del lado del servidor.
Solución alterna
Solución alternativa BIG-IP ASM y WAF avanzado
Si está utilizando el módulo BIG-IP ASM o F5 Advanced Web Application Firewall (WAF) para proteger un servidor virtual afectado, puede mitigar completamente esta exposición de seguridad utilizando las siguientes firmas BIG-IP ASM / Advanced WAF habilitadas en modo de bloqueo:
HTTP Desync Attack Attempt, ID 200018061
HTTP/2 Desync Attack Attempt, ID 200018134
HTTP Response Splitting (1)(Parameter), ID 200023001
HTTP Response Splitting (2)(Parameter), ID 200023002
HTTP Response Splitting (3)(Parameter), ID 200023003
HTTP Response Splitting (4)(Parameter), ID 200023004
Non-standard Transfer-Encoding header value, ID 200200002
Nota : Debe realizar una actualización del archivo de firmas a ASM-AttackSignatures_20210803_080323.im o posterior para que estas firmas estén disponibles en su sistema.
Mitigación
Se recomienda lo siguiente:
Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes
Productos Afectados
BIG-IP LTM 15.1.3 anteriores a 15.1.3.1 16.1 anteriores a 16.1.0
Fuente www.entel.cl
