Scoperto un nuovo pericoloso attacco HTTP: tramite HTTP/2 Cleartext (H2C)

21 Settembre 2020 - Tempo di lettura: 6 minuti

Gli specialisti della sicurezza informatica hanno rilevato un nuovo attacco di dispersione di richieste HTTP che utilizza un mix di richieste legittime e dannose con la capacità di generare più problemi per qualsiasi rete aziendale. Il rapporto è stato presentato dalla società di sicurezza Bishop Fox.

Jake Miller, il ricercatore autore del rapporto, afferma che le conseguenze di questo attacco possono essere devastanti per qualsiasi sistema. L'attacco, soprannominato "contrabbando h2c", si basa sul protocollo HTTP / 2, avviato da un'intestazione HTTP / 1.1 inviata tramite comunicazione non crittografata, e si verifica quando un attore di minacce utilizza h2c per inviare richieste a un server intermediario (o server proxy) , in grado di aggirare i meccanismi di accesso al server.

Secondo l'esperto, gli hacker malintenzionati potrebbero utilizzare questo attacco per creare intestazioni nelle comunicazioni interne e accedere agli endpoint di una rete compromessa. Miller afferma di aver pubblicato la vulnerabilità dovuta all'elevato numero di client che potrebbero essere influenzati dall'attacco: "Abbiamo trovato server interessati in tutti i tipi di organizzazioni, suggerendo che questo difetto potrebbe essere un problema generale", aggiunge. 

Per quanto riguarda la portata di questo errore, l'esperto ritiene che il suo impatto potrebbe essere abbastanza grande da influenzare qualsiasi proxy, inclusi endpoint come API o pagamenti che potrebbero essere interessati indipendentemente da altri endpoint proxy.

I consumatori potrebbero non essere direttamente interessati da questo attacco, sebbene possa verificarsi un accesso non autorizzato alle informazioni del proprio account: "Le organizzazioni che si affidano a proxy per impedire l'accesso a terminali sensibili potrebbero limitare l'uso di intestazioni interne per mitigare il rischio di attacco", afferma Miller.

Questo è un vettore di attacco appena scoperto, quindi i ricercatori non sono stati in grado di determinare se è stato sfruttato attivamente. In precedenza, sono stati utilizzati attacchi di contraffazione e contrabbando su richieste HTTP simili, sfruttando gli errori di elaborazione HTTP per accedere ai pannelli di gestione interni, eseguire attacchi di spoofing, accedere illegalmente alle reti di migliaia di organizzazioni.

Ovviamente, l'implementazione attiva di questo attacco ha i suoi limiti. Ad esempio, gli autori delle minacce dovrebbero capire esattamente quali attività dannose potrebbero essere eseguite una volta che hanno effettuato l'accesso alle reti compromesse, mitigando l'impatto negativo poiché questo metodo fornisce solo l'accesso ai sistemi di backend.