H2C: um novo tipo devastador de hack na web

A forma recém-descoberta de contrabando de solicitações HTTP pode ter um impacto generalizado porque qualquer proxy pode ser afetado, dizem os pesquisadores. Aqui está o que os profissionais da infosec devem saber.

Um novo tipo de hack que carrega solicitações maliciosas da Web junto com as legítimas poderia ser usado para criar uma ampla gama de confusão em uma organização, revela um relatório da empresa de segurança cibernética Bishop Fox. 

“Devastador.” É assim que o pesquisador-chefe do Bishop Fox, Jake Miller, descreveu esta nova forma de contrabando de solicitações HTTP – apelidada de “contrabando de H2C” – em uma postagem de blog em setembro . H2c é uma abreviatura de protocolo estabelecida para HTTP / 2 iniciado por um cabeçalho de atualização HTTP / 1.1 enviado por meio de comunicação de texto não criptografado. O ataque ocorre quando um hacker usa h2c para enviar solicitações a um servidor intermediário (conhecido como servidor proxy), que pode então escapar dos controles de acesso ao servidor.

As consequências do contrabando de H2C podem ser graves e são “um risco comercial significativo”, disse Miller por e-mail. Hackers podem usá-lo para forjar cabeçalhos internos e acessar endpoints de rede internos.

Quem é vulnerável ao contrabando de H2C?
Embora Miller tenha se recusado a declarar o número de clientes do Bishop Fox com a vulnerabilidade de contrabando de H2C, ele disse que apressou a publicação da postagem do blog detalhando a vulnerabilidade por causa do grande número de clientes afetados. 

“Encontramos servidores afetados em um conjunto diversificado de clientes (como diferentes setores, diferentes ofertas e tamanho relativo), indicando que esse problema não parece estar confinado a um tipo específico de organização”, disse ele. 

A vulnerabilidade parece ter um alcance de impacto potencialmente grande porque “qualquer” proxy pode ser afetado, incluindo endpoints com proxy, como / api / ou / payments /, que também podem ser afetados independentemente de outros endpoints com proxy.

Os consumidores não serão afetados diretamente pelo contrabando de H2C, mas o acesso não autorizado aos seus dados ou ações tomadas com ou para suas contas podem acontecer, disse Miller.

“A principal conclusão é que se o seu aplicativo depende de proxies para limpar as solicitações HTTP, é essencial garantir que você não encaminhe cabeçalhos de atualização arbitrários, pois isso poderia expô-lo a ataques de contrabando de H2C”, disse ele. “Para organizações que dependem de proxies para impedir o acesso a terminais confidenciais ou restringir o uso de cabeçalhos internos, esta técnica permitiria que os invasores contornassem esses controles.”

Existem ataques na selva? 
Como o contrabando de H2C nunca foi descrito antes, Miller não sabe se ele foi explorado por hackers. Mas contrabando e falsificações de solicitação de HTTP semelhantes que exploram inconsistências em como o HTTP é processado têm sido usados ​​para acessar painéis de gerenciamento interno, executar falsificação de endereço IP, personificar ações para outros clientes ou usuários do sistema e aproveitar os sistemas de roteamento baseados em cabeçalho para obter mais vantagens acesso na rede de uma organização. 

A parte mais difícil de usar h2c para atacar uma organização é descobrir que tipo de dano pode ser feito uma vez que o hacker tenha acesso à rede interna, diz James Kettle, diretor de pesquisa da PortSwigger, empresa de segurança com sede em Londres, e um dos os pesquisadores de segurança que fizeram descobertas significativas no domínio do contrabando de solicitações HTTP.

“A pesquisa de contrabando que eu fiz, e outros fizeram recentemente, podem dar acesso aos usuários ou ao site. Esta técnica, contrabando de H2C, apenas fornece acesso direto aos servidores de back-end”, explica Kettle. “É uma pesquisa muito boa que estou chateado por não ter descoberto quando estava olhando para isso há cerca de um ano.”

Como parar o contrabando de H2C O
Bishop Fox lançou uma ferramenta para verificar se uma organização é vulnerável ao contrabando de H2c em servidores proxy. Até agora, existem dois métodos para impedir o contrabando de H2C. Mas, para impedir que a vulnerabilidade seja explorada em primeiro lugar, Miller disse que há apenas duas opções viáveis.

O primeiro envolve o suporte obrigatório de WebSocket para cabeçalhos de atualização HTTP / 1.1. A segunda é desabilitar o suporte WebSocket completamente e desabilitar o encaminhamento de cabeçalhos de atualização.

“Do ponto de vista da triagem, esperamos que seja uma solução simples, já que pode ser resolvida por meio de uma alteração na configuração da maioria dos produtos”, disse ele.


Fonte: https://www.darkreading.com/edge/theedge/h2c-smuggling-a-new-devastating-kind-of-http-request-smuggling-/b/d-id/1338935
Imagem: (Tomentu, via Adobe Stock)