พบเทคนิคโจมตี HTTP/2 Bomb ทำ Web Server ล่มในเวลาไม่ถึงนาที
นักวิจัยด้านความปลอดภัยจากบริษัท Calif ได้เปิดเผยข้อมูลเกี่ยวกับการค้นพบเทคนิคการโจมตีประเภท Denial-of-Service (DoS) รูปแบบใหม่ในชื่อ “HTTP/2 Bomb” สามารถทำให้เว็บเซิร์ฟเวอร์หลักๆ ของโลกเกิดอาการหน่วยความจำเต็ม (Memory Exhaustion) และใช้งานไม่ได้ภายในเวลาไม่กี่วินาที เทคนิคนี้ถูกค้นพบจากการใช้ OpenAI Codex ในการวิเคราะห์และเชื่อมโยงช่องโหว่
โดยเทคนิคนี้ไม่ได้อาศัยช่องโหว่ใหม่โดยตรง แต่เป็นการนำเทคนิคโจมตี DoS ที่รู้จักกันอยู่แล้ว 2 รูปแบบมาใช้งานร่วมกัน ได้แก่ การขยายข้อมูลผ่านระบบบีบอัด Header ของ HTTP/2 (HPACK Compression Amplification) และการยึดทรัพยากรเซิร์ฟเวอร์แบบ Slowloris ผ่านกลไก Flow Control ของ HTTP/2
นักวิจัยอธิบายว่า ผู้โจมตีสามารถส่งข้อมูลขนาดเล็กมากไปยังเซิร์ฟเวอร์ แต่บังคับให้เซิร์ฟเวอร์ต้องจัดสรรหน่วยความจำจำนวนมหาศาลเพื่อประมวลผล จากนั้นใช้เทคนิคค้างการเชื่อมต่อเพื่อป้องกันไม่ให้หน่วยความจำดังกล่าวถูกคืนกลับสู่ระบบ ส่งผลให้ RAM ถูกใช้จนหมดอย่างรวดเร็ว
จากผลการทดสอบ พบว่าเครื่องคอมพิวเตอร์ทั่วไปที่เชื่อมต่ออินเทอร์เน็ตความเร็วประมาณ 100 Mbps สามารถทำให้เซิร์ฟเวอร์บางประเภทใช้หน่วยความจำมากถึง 32 GB ภายในเวลาประมาณ 20 วินาที ส่งผลให้เว็บเซิร์ฟเวอร์ล่มทันที
แพลตฟอร์มที่ได้รับผลกระทบ
ช่องโหว่นี้อยู่ในโครงสร้างการตั้งค่าเริ่มต้น (Default Configuration) ของเว็บเซิร์ฟเวอร์ระดับโลกหลายตัว ซึ่งอาจส่งผลกระทบต่อเว็บไซต์มากกว่า 880,000 แห่ง:
- NGINX * Apache HTTPD
- Microsoft IIS
- Envoy
- Cloudflare Pingora
ขณะนี้ผู้พัฒนาเซิร์ฟเวอร์บางส่วนได้ออกอัปเดตเพื่อแก้ไขปัญหานี้แล้ว:
- NGINX: แนะนำให้อัปเดตเป็นเวอร์ชัน 1.29.8+ ซึ่งจะมีการเพิ่มคำสั่ง max_headers (ค่าเริ่มต้นที่ 1,000) เพื่อจำกัดจำนวนส่วนหัว
- Apache HTTPD: ได้รับการแก้ไขแล้วในแพตช์ mod_http2 v2.0.41
- Microsoft IIS, Envoy และ Cloudflare Pingora: (ณ ช่วงเวลาที่ออกข่าว) ยังไม่มีแพตช์อย่างเป็นทางการ
สำหรับแนวทางป้องกัน ผู้ดูแลระบบควรเร่งอัปเดตแพตช์ความปลอดภัยของเว็บเซิร์ฟเวอร์ที่ใช้งานอยู่ จำกัดจำนวน Header และ Stream ที่สามารถเปิดพร้อมกัน รวมถึงตรวจสอบการตั้งค่าที่เกี่ยวข้องกับ HTTP/2 อย่างใกล้ชิด โดยในบางกรณีอาจพิจารณาปิดใช้งาน HTTP/2 ชั่วคราวจนกว่าจะสามารถติดตั้งแพตช์ที่เหมาะสมได้
การค้นพบ HTTP/2 Bomb สะท้อนให้เห็นว่า แม้เทคนิคการโจมตีที่เป็นที่รู้จักอยู่แล้วอาจถูกป้องกันในระดับหนึ่ง แต่การนำหลายเทคนิคมาผสมผสานกันสามารถสร้างผลกระทบที่รุนแรงกว่าที่คาดคิด และกลายเป็นภัยคุกคามใหม่ต่อโครงสร้างพื้นฐานของเว็บทั่วโลกได้ในอนาคต
ที่มา bleepingcomputer
