Sintesi
Rilevato sfruttamento attivo in rete della vulnerabilità nel protocollo HTTP/2 per l’esecuzione di attacchi Denial of Service (DoS). La vulnerabilità, denominata “HTTP/2 Rapid Reset” (CVE-2023-44487), consente a un utente malintenzionato di inviare al server una serie di richieste HTTP/2 che vengono rapidamente terminate, causando un consumo eccessivo di risorse sul server target.
Rischio
Stima d’impatto della vulnerabilità sulla comunità di riferimento: GRAVE/ROSSO (85,25/100)1.
Tipologia
- Denial of Service
Descrizione
È stato identificato lo sfruttamento attivo in rete della vulnerabilità nel protocollo HTTP/2 per l’esecuzione di attacchi Denial of Service (DoS). La vulnerabilità, denominata “HTTP/2 Rapid Reset”, consente a un utente malintenzionato, anche dotato di risorse limitate, di inviare al server target una serie di richieste HTTP/2 che vengono rapidamente terminate, causando un consumo eccessivo di risorse.
La vulnerabilità, presente in differenti prodotti di diversi vendor, è stata resa pubblica il giorno 10/10/2023 con l’identificativo CVE-2023-44487.
Azioni di mitigazione
In linea con le dichiarazioni dei vendor, si raccomanda di aggiornare i prodotti seguendo le indicazioni dei bollettini di sicurezza riportati nella sezione Riferimenti.
Identificatori univoci vulnerabilità
Riferimenti
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-44487
https://aws.amazon.com/it/security/security-bulletins/AWS-2023-011/
https://www.f5.com/company/blog/http-2-rapid-reset-attack-impacting-f5-nginx-products
https://groups.google.com/g/golang-announce/c/iNNxDTCjZvo
https://www.haproxy.com/blog/haproxy-is-not-affected-by-the-http-2-rapid-reset-attack-cve-2023-44487
https://konghq.com/blog/product-releases/novel-http2-rapid-reset-ddos-vulnerability-update
1La presente stima è effettuata tenendo conto di diversi parametri, tra i quali: CVSS, disponibilità di patch/workaround e PoC, diffusione dei software/dispositivi interessati nella comunità di riferimento.