新发现的HTTP/2漏洞使服务器面临DoS攻击风险 单个TCP连接即可实现

新发现的HTTP/2漏洞使服务器面临DoS攻击风险单个TCP连接即可实现在thehackernews的报道中，安全研究员BartekNowotarski于1月25日向卡内基梅隆大学计算机应急小组（CERT）协调中心报告了这一问题。该漏洞被称为"HTTP/2CONTINUATIONFlood"，它利用了配置不当的HTTP/2实现，这些实现未能限制或净化请求数据流中的CONTINUATION帧。CONTINUATION帧是一种用于延续报头块片段序列的方法，允许报头块在多个帧中分割。当服务器收到一个特定的END_HEADERS标志，表明没有其他CONTINUATION或其他帧时，先前分割的报头块就被视为已完成。如果HTTP/2实现不限制单个数据流中可发送的CONTINUATION帧的数量，就很容易受到攻击。如果攻击者开始向未设置END_HEADERS标志的易受攻击服务器发送HTTP请求，该请求将允许攻击者向该服务器持续发送CONTINUATION帧流，最终导致服务器内存不足而崩溃，并导致成功的拒绝服务(DoS)攻击。CERT还列举了该漏洞的另一个变种，即使用HPACKHuffman编码的CONTINUATION帧造成CPU资源耗尽，同样导致DoS攻击成功。Nowotarski指出，这意味着单台机器甚至单TCP连接都有可能破坏服务器的可用性，造成从服务崩溃到性能下降等各种后果。分布式拒绝服务（DDoS）攻击会创建大规模僵尸网络，通过纯粹的流量来压垮网络，而DoS攻击则不同，它可以通过向传输控制协议（TCP）连接发送大量请求来耗尽目标服务器的资源，从而利用单个设备制造虚假网络流量。与该新漏洞有关的几个常见漏洞和暴露(CVE)记录已经创建。这些记录包括：CVE-2024-2653-amphp/httpCVE-2024-27316-ApacheHTTPServer:HTTP/2DoSbymemoryexhaustiononendlesscontinuationframesCVE-2024-24549-ApacheTomcat:HTTP/2headerhandlingDoSCVE-2024-31309-ResourceexhaustioninApacheTrafficServerCVE-2024-27919-HTTP/2:memoryexhaustionduetoCONTINUATIONframefloodCVE-2024-30255)-HTTP/2:CPUexhaustionduetoCONTINUATIONframefloodCVE-2023-45288-HTTP/2CONTINUATIONfloodinnet/httpCVE-2024-28182-ReadingunboundednumberofHTTP/2CONTINUATIONframestocauseexcessiveCPUusageCVE-2024-27983-node::http2::Http2Session::~Http2Session()leadstoHTTP/2servercrashCVE-2024-2758-TempestaFWratelimitsarenotenabledbydefault建议用户将受影响的软件升级到最新版本，以减轻潜在威胁。在没有修复程序的情况下，建议考虑暂时禁用服务器上的HTTP/2。根据w3techs.com的一项调查，目前约有35.5%的网站使用HTTP/2。...PC版：https://www.cnbeta.com.tw/articles/soft/1426407.htm手机版：https://m.cnbeta.com.tw/view/1426407.htm

Cloudflare 谷歌等企业发现 HTTP/2 的一个零日漏洞可以放大DDoS攻击，每秒可达数亿次

Cloudflare谷歌等企业发现HTTP/2的一个零日漏洞可以放大DDoS攻击，每秒可达数亿次互联网巨头表示，新发现的HTTP/2漏洞已被用来发起DDoS攻击，其规模远远超出了之前记录的任何一次。Cloudflare、谷歌、微软和亚马逊均表示，他们成功缓解了其中两家公司在8月和9月记录的最大DDoS第7层攻击，但没有透露这些攻击是针对谁的。这些公司表示，这些攻击之所以可能发生，是因为HTTP/2协议中存在一个零日漏洞，他们将其命名为“HTTP/2快速重置”。HTTP/2允许通过单个连接同时向网站发出多个请求，从而加快页面加载速度。Cloudflare写道，这些攻击显然涉及到一个自动循环，即向使用HTTP/2的网站发送并立即取消“数十万个”请求，导致服务器不堪重负并使其脱机。谷歌记录的最严重的攻击每秒超过3.98亿次请求，据称这是其之前记录的任何此类攻击的七倍多。Cloudflare在峰值时每秒处理了2.01亿个请求，它也称其为破纪录，而亚马逊记录的请求最少，达到了极限。每秒1.55亿次。微软没有透露自己的数据。——

韩国：朝黑客利用韩网银认证漏洞发起攻击

韩国：朝黑客利用韩网银认证漏洞发起攻击朝鲜黑客曾恶意利用韩国网上银行安全认证软件的安全漏洞，对国内外多个机构的电脑发起植入恶意代码等网络攻击。韩国国家情报院（国情院）星期四（3月30日）说，去年年底发现朝鲜恶意利用国内知名安全认证企业的安全软件漏洞，入侵国家机关、公共机构及军工、生物企业等国内外60多个主要机构的210多台电脑。据估算，全球有1000万台以上电脑安装这一权威安全认证软件。韩国国情院说，政府已从今年1月起采取应急措施，对恶意代码的运作原理等进行具体分析，并携手开发商发布安全补丁，建议各机构、企业和个人用户及时安装更新。

"HTTP/2 快速重置"协议漏洞将困扰互联网多年

"HTTP/2快速重置"协议漏洞将困扰互联网多年不过，最近的攻击尤其值得注意，因为黑客是利用一个基础网络协议中的漏洞发动攻击的。这意味着，虽然修补工作正在顺利进行，但在完全杜绝这些攻击之前，修补程序基本上需要覆盖全球所有网络服务器。该漏洞被称为"HTTP/2快速重置"，只能用于拒绝服务，攻击者无法远程接管服务器或窃取数据。但是，攻击并不一定要花哨才能造成大问题--从关键基础设施到重要信息，可用性对于访问任何数字服务都至关重要。Google云的EmilKiner和TimApril本周写道："DDoS攻击会对受害组织造成广泛影响，包括业务损失和关键任务应用程序的不可用性。从DDoS攻击中恢复的时间可能远远超过攻击结束的时间。"情况的另一个方面是漏洞的来源。RapidReset并不存在于某个特定的软件中，而是存在于用于加载网页的HTTP/2网络协议的规范中。HTTP/2由互联网工程任务组（IETF）开发，已经存在了大约八年，是经典互联网协议HTTP更快、更高效的继承者。HTTP/2在移动设备上的运行效果更好，使用的带宽更少，因此被广泛采用。IETF目前正在开发HTTP/3。Cloudflare的LucasPardue和JulienDesgats本周写道：由于该攻击滥用了HTTP/2协议中的一个潜在弱点，我们认为任何实施了HTTP/2的供应商都会受到攻击。虽然似乎有少数实施方案没有受到RapidReset的影响，但Pardue和Desgats强调说，这个问题与"每台现代网络服务器"广泛相关。与由微软修补的Windows漏洞或由苹果修补的Safari漏洞不同，协议中的缺陷不可能由一个中央实体来修复，因为每个网站都以自己的方式实施标准。当主要的云服务和DDoS防御提供商为其服务创建修复程序时，就能在很大程度上保护使用其基础设施的每个人。但运行自己网络服务器的组织和个人需要制定自己的保护措施。长期从事开源软件研究的软件供应链安全公司ChainGuard首席执行官丹-洛伦茨（DanLorenc）指出，这种情况是一个例子，说明开源的可用性和代码重用的普遍性（而不是总是从头开始构建一切）是一个优势，因为许多网络服务器可能已经从其他地方复制了HTTP/2实现，而不是重新发明轮子。如果这些项目得到维护，它们将开发出快速重置修复程序，并推广给用户。不过，这些补丁的全面采用还需要数年时间，仍会有一些服务从头开始实施自己的HTTP/2，而其他任何地方都不会提供补丁。Lorenc说："需要注意的是，大型科技公司发现这个问题时，它正在被积极利用。它可以用来瘫痪服务，比如操作技术或工业控制。这太可怕了。"虽然最近对Google、Cloudflare、微软和亚马逊的一连串DDoS攻击因规模巨大而引起了人们的警惕，但这些公司最终还是缓解了攻击，没有造成持久的损失。但是，黑客通过实施攻击，揭示了协议漏洞的存在以及如何利用该漏洞--安全界称之为"烧毁零日"的因果关系。尽管修补过程需要时间，而且一些网络服务器将长期处于易受攻击的状态，但与攻击者没有利用该漏洞亮出底牌相比，现在的互联网更加安全了。Lorenc说："在标准中出现这样的漏洞是不寻常的，它是一个新颖的漏洞，对于首先发现它的人来说是一个有价值的发现。他们本可以把它保存起来，甚至可能把它卖掉，赚一大笔钱。我一直很好奇为什么有人决定'烧掉'这个漏洞。"...PC版：https://www.cnbeta.com.tw/articles/soft/1389937.htm手机版：https://m.cnbeta.com.tw/view/1389937.htm

朝鲜黑客利用0day漏洞对韩国企业实施供应链攻击

朝鲜黑客利用0day漏洞对韩国企业实施供应链攻击"2023年3月，网络行为者利用安全认证和网络连接系统的软件漏洞串联，未经授权访问了目标机构的内网，"咨询描述道。"它利用MagicLine4NX安全身份验证程序的软件漏洞，首次入侵目标的互联网连接计算机，并利用网络链接系统的零日漏洞横向移动，未经授权访问信息"。这次攻击首先入侵了一家媒体的网站，在文章中嵌入恶意脚本，从而实现'灌水孔'攻击。当特定IP范围内的目标访问被入侵网站上的文章时，脚本会执行恶意代码，触发MagicLine4NX软件中的上述漏洞，影响1.0.0.26之前的版本。这导致受害者的计算机连接到攻击者的C2（命令和控制）服务器，使他们能够利用网络连接系统中的漏洞访问互联网服务器。朝鲜黑客利用该系统的数据同步功能，将信息窃取代码传播到业务端服务器，从而入侵目标组织内的个人电脑。植入的代码连接到两个C2服务器，一个作为中间网关，另一个位于互联网外部。恶意代码的功能包括侦察、数据外渗、从C2下载和执行加密载荷以及网络横向移动。攻击链条分析图/NCSC关于这次代号为"梦幻魔力"、由臭名昭著的Lazarus实施的攻击的详细信息，请参阅本AhnLab报告（仅提供韩文版）：https://asec.ahnlab.com/wp-content/uploads/2023/10/20231013_Lazarus_OP.Dream_Magic.pdf有国家支持的朝鲜黑客行动一贯依赖供应链攻击和利用零日漏洞作为其网络战战术的一部分。2023年3月，人们发现"迷宫Chollima"（Lazarus的一个子组织）对VoIP软件制造商3CX进行了供应链攻击，入侵了全球多家知名企业。上周五，微软披露了针对讯连科技（CyberLink）的供应链攻击，Lazarus黑客组织利用该攻击发布了木马化、数字签名的假冒应用安装程序，使至少一百台电脑感染了"LambLoad"恶意软件。朝鲜黑客组织利用这类攻击针对特定公司，无论是网络间谍、金融欺诈还是加密货币盗窃。今年早些时候，网络安全咨询机构（CSA）警告说，朝鲜黑客攻击窃取的资金被用于资助该国的行动。"据机构评估，来自这些加密货币业务的不明金额收入支持朝鲜国家级优先事项和目标，包括针对美国和韩国政府的网络行动--具体目标包括国防部信息网络和国防工业基地成员网络，"CISA的一份咨询意见中写道。...PC版：https://www.cnbeta.com.tw/articles/soft/1399641.htm手机版：https://m.cnbeta.com.tw/view/1399641.htm

慢雾：警惕恶意攻击者利用 WordPress 插件漏洞发起的水坑攻击

慢雾：警惕恶意攻击者利用WordPress插件漏洞发起的水坑攻击慢雾安全提醒，近期有攻击者利用WordPress插件漏洞攻击正常的站点，然后在站点中注入恶意的js代码，发起水坑攻击，在用户访问站点时弹出恶意弹窗，骗取用户执行恶意的代码或进行Web3钱包签名，从而盗取用户的资产。建议有使用WordPress插件的站点注意排查是否存在漏洞，及时更新插件，避免被攻击；用户在访问任何站点的时候，要仔细识别下载的程序以及Web3签名的内容，避免下载到恶意程序或因授权了恶意的签名导致资产被盗。