HTTP / 2 协议被曝安全漏洞，被黑客利用可发起拒绝服务攻击

HTTP/2协议被曝安全漏洞，被黑客利用可发起拒绝服务攻击网络安全研究员BartekNowotarski于1月25日报告，发现HTTP/2协议中存在一个高危漏洞，黑客利用该漏洞可以发起拒绝服务（DoS）攻击。Nowotarski于1月25日向卡内基梅隆大学计算机应急小组（CERT）协调中心报告了这个发现，该漏洞被命名为“HTTP/2CONTINUATIONFlood”。该漏洞主要利用HTTP/2的配置不当实现，主要是未能限制或净化请求数据流中的CONTINUATION帧。CONTINUATION帧是一种用于延续报头块片段序列的方法，允许在多个帧中分割报头块（headerblock）。当服务器收到一个特定END_HEADERS标志，表明没有其他CONTINUATION或其他帧时，先前分割的报头块就被视为已完成。如果HTTP/2实现不限制单个数据流中可发送的CONTINUATION帧的数量，就很容易受到攻击。如果攻击者开始向未设置END_HEADERS标志的易受攻击服务器发送HTTP请求，该请求将允许攻击者向该服务器持续发送CONTINUATION帧流，最终导致服务器内存不足而崩溃，并导致成功发起拒绝服务(DoS)攻击。线索：@ZaiHuabot投稿：@TNSubmbot频道：@TestFlightCN

新发现的HTTP/2漏洞使服务器面临DoS攻击风险 单个TCP连接即可实现

新发现的HTTP/2漏洞使服务器面临DoS攻击风险单个TCP连接即可实现在thehackernews的报道中，安全研究员BartekNowotarski于1月25日向卡内基梅隆大学计算机应急小组（CERT）协调中心报告了这一问题。该漏洞被称为"HTTP/2CONTINUATIONFlood"，它利用了配置不当的HTTP/2实现，这些实现未能限制或净化请求数据流中的CONTINUATION帧。CONTINUATION帧是一种用于延续报头块片段序列的方法，允许报头块在多个帧中分割。当服务器收到一个特定的END_HEADERS标志，表明没有其他CONTINUATION或其他帧时，先前分割的报头块就被视为已完成。如果HTTP/2实现不限制单个数据流中可发送的CONTINUATION帧的数量，就很容易受到攻击。如果攻击者开始向未设置END_HEADERS标志的易受攻击服务器发送HTTP请求，该请求将允许攻击者向该服务器持续发送CONTINUATION帧流，最终导致服务器内存不足而崩溃，并导致成功的拒绝服务(DoS)攻击。CERT还列举了该漏洞的另一个变种，即使用HPACKHuffman编码的CONTINUATION帧造成CPU资源耗尽，同样导致DoS攻击成功。Nowotarski指出，这意味着单台机器甚至单TCP连接都有可能破坏服务器的可用性，造成从服务崩溃到性能下降等各种后果。分布式拒绝服务（DDoS）攻击会创建大规模僵尸网络，通过纯粹的流量来压垮网络，而DoS攻击则不同，它可以通过向传输控制协议（TCP）连接发送大量请求来耗尽目标服务器的资源，从而利用单个设备制造虚假网络流量。与该新漏洞有关的几个常见漏洞和暴露(CVE)记录已经创建。这些记录包括：CVE-2024-2653-amphp/httpCVE-2024-27316-ApacheHTTPServer:HTTP/2DoSbymemoryexhaustiononendlesscontinuationframesCVE-2024-24549-ApacheTomcat:HTTP/2headerhandlingDoSCVE-2024-31309-ResourceexhaustioninApacheTrafficServerCVE-2024-27919-HTTP/2:memoryexhaustionduetoCONTINUATIONframefloodCVE-2024-30255)-HTTP/2:CPUexhaustionduetoCONTINUATIONframefloodCVE-2023-45288-HTTP/2CONTINUATIONfloodinnet/httpCVE-2024-28182-ReadingunboundednumberofHTTP/2CONTINUATIONframestocauseexcessiveCPUusageCVE-2024-27983-node::http2::Http2Session::~Http2Session()leadstoHTTP/2servercrashCVE-2024-2758-TempestaFWratelimitsarenotenabledbydefault建议用户将受影响的软件升级到最新版本，以减轻潜在威胁。在没有修复程序的情况下，建议考虑暂时禁用服务器上的HTTP/2。根据w3techs.com的一项调查，目前约有35.5%的网站使用HTTP/2。...PC版：https://www.cnbeta.com.tw/articles/soft/1426407.htm手机版：https://m.cnbeta.com.tw/view/1426407.htm

微软警示Boa网络服务器存在漏洞 令黑客有攻击能源机构的机会

微软警示Boa网络服务器存在漏洞令黑客有攻击能源机构的机会"影响这类组件的已知CVE可以让攻击者在发起攻击前收集网络资产的信息，并通过获得有效的凭证不被发现地进入网络，"微软在一篇博文中说。"在关键基础设施网络中，能够在攻击前收集信息而不被发现，使攻击者一旦发起攻击就能产生更大的影响，有可能破坏多达数百万美元的资产和影响数百万人的生活。"BoaServer在通常的物联网（IoT）设备（如安全摄像机、路由器和软件开发工具包）上发现，尽管它自2005年以来它就已经逐渐退役了，它主要被用来访问设备的设置和管理控制台以及登录屏幕。微软仅在一周内就发现了超过100万个暴露于互联网的BoaServer组件。鉴于这种大规模持续利用已停用的网络服务中的漏洞和经由此形成的其他复杂情况，微软承认，缓解问题可能很难。"如果没有开发人员管理Boa网络服务器，其已知的漏洞可能允许攻击者通过收集文件的信息悄悄地进入网络，"微软解释说。"此外，受影响的人可能不知道他们的设备使用已停产的Boa网络服务器运行服务，而固件更新早已停止和单一下游厂商得补丁可能也很难解决其已知的漏洞。"能源部门是黑客的一个有吸引力的目标，微软表示，对BoaServer漏洞的利用仍在继续。借此，公司建议面临攻击风险的组织建立自己的保护措施。据其介绍，除了识别组织正在使用的可能有攻击风险的设备外，他们还需要执行补丁并设置配置，以便轻松发现攻击。最早观察到这一点的组织之一是美国能源部，它在3月开始做出改变以更好地加强其网络安全防御。...PC版：https://www.cnbeta.com.tw/articles/soft/1333687.htm手机版：https://m.cnbeta.com.tw/view/1333687.htm

英国政府正在扫描该国互联网空间的零日威胁

英国政府正在扫描该国互联网空间的零日威胁这与挪威国家安全局的努力类似，去年，该机构寻找利用微软Exchange漏洞针对该国互联网用户的证据。斯洛文尼亚的网络安全响应单位，即SI-CERT，当时也表示，它正在通知其互联网空间中的Exchange零日漏洞的潜在受害者。该机构解释说，NCSC的扫描活动将涵盖任何在英国境内托管的互联网可访问系统，并将重点定位那些常见的或因影响广泛而特别重要的漏洞。英国国家安全委员会说，它将使用收集到的数据来创建"英国在漏洞披露后的暴露概况，并跟踪他们在一段时间内的补救情况"。该机构还希望这些数据将有助于向系统所有者提供有关其日常安全状况的建议，并帮助英国更快地应对事件，如正在被积极利用的零日漏洞。该机构解释说，从这些扫描中收集的信息包括连接到服务和网络服务器时发回的任何数据，如完整的HTTP响应，以及每个请求和响应的信息，包括请求的时间和日期以及源和目的端点的IP地址。它指出，请求的目的是收集检查被扫描资产是否受漏洞影响所需的最低限度的信息。如果无意中收集到任何敏感或个人数据，NCSC说它将"采取措施删除这些数据，并防止其在未来再次被捕获"。扫描是使用从NCSC的专用云托管环境内运行的工具进行的，允许网络管理员在其日志中轻松识别该机构。总部设在英国的组织可以选择不接受政府对其服务器的扫描，方法是向NCSC发送电子邮件，列出他们希望排除的IP地址。NCSC即将离任的技术总监IanLevy在一篇博文中解释说："我们不是为了其他邪恶的目的而试图在英国寻找漏洞。我们从简单的扫描开始，并将慢慢增加扫描的复杂性，解释我们在做什么（以及为什么我们要这样做）。"...PC版：https://www.cnbeta.com.tw/articles/soft/1332063.htm手机版：https://m.cnbeta.com.tw/view/1332063.htm

互联网档案馆已连续数日抵御 DDoS 攻击

互联网档案馆已连续数日抵御DDoS攻击如果您在过去几天无法访问互联网档案馆及其网站时光机，那是因为该网站受到了攻击。这家非营利组织在一篇博客文章中宣布，目前正处于“抵御间歇性DDoS网络攻击的第三天”。该组织上周末在社交平台X上发帖称，由于恶意行为者“每秒向其网站发送数以万计的虚假信息请求”，其大部分服务无法使用。28日早上，该组织警告称，由于攻击者没有停止攻击，其“服务中断的情况仍在持续”。不过，该网站的数据似乎没有受到影响，用户仍然可以在访问时查看以前的页面内容。——

微软将包含员工凭证的服务器暴露在互联网上长达一个月之久

微软将包含员工凭证的服务器暴露在互联网上长达一个月之久SOCRadar的研究人员于2月6日发现了这一漏洞，并立即通知了微软。该服务器包含公司数据，包括登录其他内部数据库和系统的凭证。雷德蒙德于3月5日保护了该服务器。目前还不清楚在研究人员发现之前，这些数据被公开访问了多久。该漏洞的严重程度足以使其他安全系统，包括目前正在运行的服务，面临被入侵的严重风险。SOCRadar研究员CanYoleri介绍说："[暴露的数据]可能导致更严重的数据泄露，并可能危及正在使用的服务。"虽然SOCRadar证实该服务器现已安全，但微软拒绝对此事件发表评论。目前还不清楚微软是否用新密码保护了所有其他可能暴露的系统，除研究人员外，是否有其他人访问过这些数据也是未知数。虽然错误很低级，但微软也并不是数据泄露和外泄的新手。《防火墙时报》列出了自2010年以来该公司或其产品造成内部或第三方安全漏洞的21次事件。只有少数是由于内部失误，而不是来自坏人的攻击。上一次内部事故发生在2019年，当时一个客户服务和支持服务器被"错误配置"，导致2.5亿微软客户的数据泄露，这些数据可追溯到2005年。微软在2019年12月5日的安全组变更后，让该服务器大开着。在搜索引擎开始索引其文件后，研究人员发现了这台不安全的服务器。微软在12月29日收到泄漏通知后迅速保护了服务器。至于外部威胁，微软是一个巨大的目标，因此攻击者不断攻击该公司的产品和服务也就不足为奇了。最近，美国网络安全审查委员会就对被怀疑是中国国家支持的黑客发起的"可预防的"ExchangeOnline黑客攻击事件对雷德蒙德进行了抨击。这次攻击导致黑客有权访问500多名政府雇员的电子邮件，其中包括白宫高级内阁成员和国会议员。...PC版：https://www.cnbeta.com.tw/articles/soft/1426936.htm手机版：https://m.cnbeta.com.tw/view/1426936.htm