Un nuevo tipo de HTTP &#39devastador&#39 …



La forma recién descubierta de contrabando de solicitudes HTTP podría tener un impacto generalizado porque cualquier proxy puede verse afectado, dicen los investigadores. Esto es lo que deben saber los profesionales de la seguridad informática.

Un nuevo tipo de hackeo que se suma a las solicitudes world-wide-web maliciosas junto con las legítimas podría usarse para crear una amplia gama de estragos en una organización, revela un informe de la empresa de ciberseguridad Bishop Fox.

«Devastador.» Así es como el investigador principal del obispo Fox, Jake Miller, describió esta nueva forma de contrabando de solicitudes HTTP, denominado «contrabando de h2c», en un Publicación de web site de septiembre. H2c es una abreviatura de protocolo establecida para HTTP / 2 iniciado por un encabezado de actualización HTTP / 1.1 enviado a través de una comunicación de texto sin formato. El ataque ocurre cuando un pirata informático utiliza h2c para enviar solicitudes a un servidor intermediario (conocido como servidor proxy), que luego puede evadir los controles de acceso al servidor.

Las consecuencias del contrabando de h2c pueden ser graves y son «un riesgo comercial significativo», dijo Miller en un correo electrónico. Los piratas informáticos podrían usarlo para falsificar encabezados internos y acceder a los puntos finales de la purple interna.

¿Quién es susceptible al contrabando de h2c?
Aunque Miller se negó a declarar la cantidad de clientes de Bishop Fox con la vulnerabilidad de contrabando de h2c, dijo que se apresuró a publicar la publicación del blog que detalla la vulnerabilidad debido a la gran cantidad de clientes afectados.

«Encontramos servidores afectados en un conjunto diverso de clientes (como diferentes industrias, diferentes ofertas y tamaño relativo), lo que indica que este problema no parece estar confinado a un tipo specific de organización», dijo.

La vulnerabilidad parece tener un alcance de impacto potencialmente grande porque «cualquier» proxy puede verse afectado, incluidos los puntos finales con proxy, como / api / o / payments /, que también pueden verse afectados independientemente de otros puntos finales con proxy.

Los consumidores no se verán afectados directamente por el contrabando de h2c, pero podría suceder el acceso no autorizado a sus datos o las acciones tomadas con o hacia sus cuentas, dijo Miller.

«La conclusión clave es que si su aplicación se basa en proxies para desinfectar las solicitudes HTTP, es basic asegurarse de no reenviar encabezados de actualización arbitrarios, ya que podría exponerlo a ataques de contrabando de h2c», dijo. «Para las organizaciones que dependen de proxies para evitar el acceso a terminales sensibles o restringir el uso de encabezados internos, esta técnica permitiría a los atacantes eludir estos controles».

¿Hay ataques en la naturaleza?
Debido a que el contrabando de h2c nunca se había descrito antes, Miller no sabe si ha sido explotado por piratas informáticos. Pero se han utilizado falsificaciones y contrabando de solicitudes HTTP similares que explotan inconsistencias en la forma en que se procesa HTTP para acceder a los paneles de administración internos, realizar suplantación de direcciones IP, suplantar acciones para otros clientes o usuarios del sistema y aprovechar los sistemas de enrutamiento basados ​​en encabezados para obtener más beneficios. acceso en la crimson de una organización.

La parte más difícil de usar h2c para atacar una organización es averiguar qué tipo de daño se puede hacer una vez que el hacker ha obtenido acceso a la pink interna, dice James Kettle, director de investigación de la empresa de seguridad con sede en Londres PortSwigger, y uno de los los investigadores de seguridad que han realizado importantes descubrimientos en el ámbito del contrabando de solicitudes HTTP.

«La investigación de contrabando que he realizado, y otras que han realizado recientemente, puede brindarle acceso a los usuarios o al sitio web. Esta técnica, el contrabando de h2c, solo le brinda acceso directo a los servidores backend», explica Kettle. «Es una investigación realmente agradable que me molesta que me perdí de descubrir cuando estaba mirando esto hace aproximadamente un año».

Cómo detener el contrabando de h2c
Obispo Fox lanzó una herramienta para comprobar si una organización es vulnerable al contrabando de h2c en servidores proxy. Hasta ahora, hay dos métodos para detener el contrabando de h2c. Pero para evitar que la vulnerabilidad sea explotada en primer lugar, Miller dijo que aquí hay solo dos opciones viables.

El primero implica exigir el soporte de WebSocket para los encabezados de actualización HTTP / 1.1. La segunda es deshabilitar la compatibilidad con WebSocket por completo y deshabilitar el reenvío de los encabezados de actualización.

«Desde la perspectiva del triaje, es de esperar que sea una solución very simple, dado que se puede abordar mediante un cambio de configuración para la mayoría de los productos», dijo.

Seth es editor en jefe y fundador de The Parallax, una revista de noticias en línea sobre ciberseguridad y privacidad. Ha trabajado en periodismo en línea desde 1999, incluidos ocho años en CNET News, donde dirigió la cobertura de seguridad, privacidad y Google. Con sede en San Francisco, también … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia original