ISGroup Conseil en Cybersécurité

CVE-2024-27316 : Vulnérabilité de déni de service par épuisement de la mémoire dans la gestion des en-têtes HTTP/2 dans nghttp2

nghttp2 est une bibliothèque C open-source fondamentale qui implémente le protocole HTTP/2. Elle est largement intégrée dans l’infrastructure critique d’Internet, notamment les serveurs web (tels qu’Apache et NGINX), les réseaux de diffusion de contenu (CDN), les répartiteurs de charge et les proxys d’applications. L’omniprésence de cette bibliothèque implique qu’une vulnérabilité peut avoir un impact étendu sur le web.

Cette vulnérabilité représente un risque élevé pour toute organisation gérant des services exposés au public utilisant la bibliothèque nghttp2. Une exploitation réussie permet à un attaquant distant non authentifié de déclencher un Déni de Service (DoS), provoquant le plantage d’applications web et d’API critiques. La complexité de l’attaque est faible, nécessitant uniquement la capacité d’envoyer du trafic HTTP/2 spécifiquement conçu.

Cette faille est une variante de la technique d’attaque « HTTP/2 CONTINUATION Flood », divulguée publiquement et faisant l’objet de discussions actives parmi les chercheurs en sécurité. Bien qu’aucun kit d’exploitation public spécifique n’ait été confirmé, la simplicité du vecteur d’attaque indique une forte probabilité de weaponization et un potentiel d’exploitation dans des environnements réels. Tous les systèmes exposés à Internet utilisant une version vulnérable de la bibliothèque doivent être considérés comme étant à risque immédiat.

Produitnghttp2
Date2025-12-06 00:29:50

Résumé technique

La cause principale de cette vulnérabilité est classée comme CWE-400 : Consommation incontrôlée de ressources. Elle découle de la manière dont la bibliothèque nghttp2 gère les trames HEADERS HTTP/2 entrantes qui dépassent les limites configurées sur le serveur.

La séquence technique de l’attaque est la suivante :

  1. L’attaquant établit une connexion HTTP/2 avec un serveur cible exécutant une version vulnérable de la bibliothèque nghttp2.
  2. L’attaquant envoie un flux continu de trames HEADERS, violant intentionnellement les limites de flux préconfigurées.
  3. La bibliothèque reconnaît correctement la violation et se prépare à envoyer une réponse d’erreur 413 Payload Too Large. Cependant, pour générer cette réponse, elle commence à mettre en mémoire tampon les en-têtes entrants, qui sont excessifs.
  4. Le client de l’attaquant évite délibérément de lire la réponse du serveur. Cela maintient la connexion ouverte et permet au client de continuer à envoyer un nombre illimité d’en-têtes.
  5. Le tampon côté serveur au sein de la bibliothèque nghttp2 croît sans limite à mesure qu’il met en file d’attente les en-têtes de l’attaquant, conduisant à une allocation incontrôlée de la mémoire.
  6. Cette allocation rapide et continue de mémoire finit par épuiser toute la mémoire disponible pour le processus du serveur, provoquant sa terminaison par le système d’exploitation et entraînant un déni de service définitif.

Versions concernées : Toutes les versions de nghttp2 antérieures aux versions correctives sont vulnérables. Consultez les avis spécifiques des fournisseurs pour les produits incluant la bibliothèque.

Versions correctives : La vulnérabilité a été résolue dans les versions les plus récentes de la bibliothèque nghttp2. Les administrateurs doivent mettre à jour vers la dernière version sécurisée fournie par leurs fournisseurs respectifs.

Recommandations

  • Appliquer le correctif immédiatement : Mettre à jour tous les systèmes utilisant la bibliothèque nghttp2 vers une version corrigée. Consultez les avis des fournisseurs de logiciels (ex. fournisseurs de serveurs web, distributeurs de systèmes d’exploitation) pour obtenir les mises à jour de sécurité appropriées.

  • Atténuations :

    • Si une mise à jour immédiate n’est pas possible, envisagez d’appliquer des règles de limitation de débit (rate-limiting) au périmètre réseau (ex. WAF, équilibreur de charge) pour limiter le nombre de nouvelles connexions HTTP/2 ou la fréquence des données entrantes depuis une seule adresse IP.
    • En dernier recours pour les systèmes critiques, la désactivation temporaire du protocole HTTP/2 et le retour à HTTP/1.1 peut atténuer cette menace spécifique, bien que cela puisse avoir des implications sur les performances.

  • Chasse aux menaces et surveillance :

    • Surveillez l’utilisation de la mémoire sur les serveurs exposés au web pour détecter des pics soudains et inexpliqués. Corrélez ces pics avec le processus serveur gérant le trafic HTTP/2.
    • Analysez le trafic réseau pour identifier un taux anormalement élevé de trames HEADERS HTTP/2 provenant d’une seule adresse IP sans données corrélées ou achèvement de flux.
    • Vérifiez les journaux des serveurs web ou des applications pour détecter des modèles de connexions répétées qui sont ouvertes mais jamais fermées correctement.

  • Réponse aux incidents :

    • Si une attaque DoS est suspectée, mettez immédiatement en œuvre un blocage temporaire des adresses IP sources impliquées via le pare-feu ou le WAF.
    • Avant de redémarrer le service ayant planté, si possible, effectuez un vidage mémoire (dump) du processus, car il peut être utile pour l’analyse forensique.
    • Conservez les captures de paquets réseau et les journaux de serveurs pertinents au moment de l’incident pour des investigations ultérieures.

  • Défense en profondeur :

    • Assurez-vous que les services critiques sont configurés avec des capacités de redémarrage automatique (ex. via systemd ou d’autres gestionnaires de services) pour minimiser les temps d’arrêt en cas de plantage.
    • Implémentez des systèmes de surveillance et d’alerte sur l’utilisation des ressources pour fournir un avertissement précoce en cas d’attaques par épuisement de mémoire.

[Callforaction-THREAT-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *