ISGroup Cybersicherheitsberatung

CVE-2023-43622: Denial-of-Service-Schwachstelle im Zusammenhang mit der anfänglichen HTTP/2-Fenstergröße im Apache HTTP Server

Der Apache HTTP Server ist einer der am weitesten verbreiteten Webserver im Internet und bildet das Fundament eines erheblichen Teils der Webdienste, von einfachsten Websites bis hin zu komplexen Anwendungs-Backends. Seine Leistung und Stabilität sind entscheidend für die Betriebskontinuität, was seine Sicherheit zu einer obersten Priorität für Systemadministratoren und Sicherheitsteams weltweit macht.

Diese Schwachstelle stellt ein hohes Risiko dar, da sie es einem nicht authentifizierten Remote-Benutzer ermöglicht, mit minimalem Aufwand einen vollständigen Denial of Service (DoS) zu verursachen. Der Angriff erfordert weder spezielle Berechtigungen noch eine Benutzerinteraktion. Öffentliche Exploit-Codes sind verfügbar, und der Angriff ist einfach durchzuführen, was die Wahrscheinlichkeit einer Ausnutzung erheblich erhöht.

Jede mit dem Internet verbundene Instanz des Apache HTTP Servers, auf der eine anfällige Version mit aktiviertem HTTP/2-Protokoll läuft, ist gefährdet. Ein erfolgreicher Angriff macht alle gehosteten Webdienste unzugänglich, was zu Betriebsausfällen, potenziellen wirtschaftlichen Verlusten und Reputationsschäden führt. Angesichts der weiten Verbreitung des Servers sind die potenziellen Auswirkungen beträchtlich.

ProduktApache HTTP Server
Datum2025-12-06 12:33:40

Technische Zusammenfassung

Die technische Ursache der Schwachstelle ist eine unsachgemäße Handhabung des HTTP/2-Flusskontrollmechanismus, klassifiziert als CWE-400: Uncontrolled Resource Consumption. Es handelt sich um eine Variante des “Slow-Loris”-Angriffs, die speziell auf die HTTP/2-Protokollimplementierung des Servers abzielt.

Der Angriff läuft wie folgt ab:

  1. Der Angreifer initiiert eine HTTP/2-Verbindung zu einer anfälligen Apache HTTP Server-Instanz.
  2. Der Angreifer sendet dann einen SETTINGS-Frame, bei dem der Parameter SETTINGS_INITIAL_WINDOW_SIZE auf 0 gesetzt ist.
  3. Diese bösartige Einstellung veranlasst die Verbindungssteuerungslogik des Servers dazu, bei der Verarbeitung nachfolgender Daten vom Client auf unbestimmte Zeit zu blockieren, da sie auf ein Fenster-Update wartet, das niemals eintreffen wird.
  4. Jede dieser blockierten Verbindungen belegt einen Worker-Thread. Durch das Initiieren mehrerer solcher Verbindungen kann ein Angreifer schnell alle verfügbaren Worker-Threads des Servers erschöpfen.
  5. Sobald der Pool an Worker-Threads erschöpft ist, kann der Server keine neuen Verbindungen mehr akzeptieren, was legitimen Benutzern den Dienst effektiv verweigert.

Konzeptionell würde die bösartige Client-Konfiguration wie folgt aussehen:

# Konzeptionelle Darstellung eines bösartigen HTTP/2 SETTINGS-Frames
# NICHT als Angriffs-String verwenden.
SETTINGS {
    SETTINGS_INITIAL_WINDOW_SIZE = 0
}
  • Betroffene Versionen: Apache HTTP Server 2.4.55 bis 2.4.57
  • Korrigierte Version: Apache HTTP Server 2.4.58

Empfehlungen

  • Patch sofort anwenden: Aktualisieren Sie Apache HTTP Server-Instanzen auf die korrigierte Version 2.4.58 oder höher. Dies ist der effektivste Weg, um die Schwachstelle zu beheben.

  • Mitigationen:

  • Als vorübergehende Maßnahme bis zur Anwendung des Patches sollten Sie in Erwägung ziehen, das HTTP/2-Protokoll zu deaktivieren, falls es für die Umgebung nicht zwingend erforderlich ist. Dies kann durch Ändern der Protocols-Direktive in der Apache-Konfiguration erfolgen (z. B. Protocols http/1.1).

  • Verwenden Sie eine Web Application Firewall (WAF) oder ein Perimeter-Gerät, das in der Lage ist, HTTP/2-Datenverkehr zu untersuchen und zu normalisieren, um Anfragen mit einer anfänglichen Fenstergröße von Null zu blockieren.

  • Hunt & Monitor:

  • Überwachen Sie die server-status-Seite von Apache, um eine ungewöhnliche Anzahl blockierter Verbindungen im Status “Read” oder “Write” zu erkennen, die ohne Datenübertragung bestehen bleiben.

  • Analysieren Sie den Netzwerkverkehr auf einen plötzlichen Anstieg von HTTP/2-Verbindungen, insbesondere solche, die nach dem anfänglichen Austausch des SETTINGS-Frames blockieren.

  • Konfigurieren Sie Warnmeldungen für eine dauerhaft hohe Auslastung der Worker-Threads, was ein Frühindikator für den Angriff sein kann.

  • Incident Response:

  • Wenn ein Kompromiss vermutet wird, starten Sie den Apache-Dienst neu, um alle bestehenden Verbindungen zu beenden und den Worker-Thread-Pool freizugeben.

  • Blockieren Sie die für den Angriff verantwortlichen Quell-IP-Adressen vorübergehend auf Firewall-Ebene. Beachten Sie, dass Angreifer ihre IP-Adressen leicht ändern können, was diese Maßnahme nur vorübergehend wirksam macht.

  • Priorisieren Sie die sofortige Bereitstellung des Patches (Version 2.4.58), um erneute Vorfälle zu verhindern.

  • Defense in Depth:

  • Implementieren Sie Richtlinien zur Begrenzung von Verbindungen und Datenverkehr auf Perimeter-Geräten, um Angriffe zur Ressourcenerschöpfung zu verlangsamen.

  • Stellen Sie sicher, dass umfassende Überwachungs- und Protokollierungssysteme für den Server aktiv sind, um Sichtbarkeit über Verbindungszustände und Ressourcennutzung zu gewährleisten.

[Callforaction-THREAT-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *