Der Apache HTTP Server ist einer der am weitesten verbreiteten Webserver im Internet und dient als tragende Infrastruktur für einen erheblichen Teil der webbasierten Anwendungen, APIs und Dienste. Seine Zuverlässigkeit ist entscheidend für die Verfügbarkeit zahlreicher Online-Aktivitäten.

Diese Schwachstelle birgt ein hohes Risiko für einen nicht authentifizierten Remote-Denial-of-Service (DoS). Ein Angreifer kann jeden anfälligen und öffentlich zugänglichen Apache-Server zum Absturz bringen, ohne dass Anmeldedaten oder ein vorheriger Zugriff erforderlich sind. Dies ermöglicht einfache und wiederholbare Angriffe, die zu erheblichen Dienstausfällen führen können, was wiederum Umsatzverluste, Kundenunzufriedenheit und Reputationsschäden zur Folge hat.

Obwohl diese spezifische CVE noch nicht im Katalog der bekannten ausgenutzten Schwachstellen (KEV) der CISA enthalten ist, handelt es sich um eine Variante des bekannten HTTP/2 Rapid Reset-Angriffs (CVE-2023-44487), der in freier Wildbahn weit verbreitet ist. Für CVE-2023-45802 ist ein öffentlicher Proof-of-Concept-Exploit verfügbar, was die Hürde für Angreifer erheblich senkt. Jede Organisation, die einen öffentlich zugänglichen Apache HTTP Server mit aktiviertem mod_http2-Modul betreibt, ist unmittelbar gefährdet.

Produkt	Apache HTTP Server
Datum	2025-12-06 12:29:58

Technische Zusammenfassung

Die Hauptursache für diese Schwachstelle ist ein Speicherleck (CWE-401: Fehlende Speicherfreigabe nach Ablauf der Lebensdauer) innerhalb des mod_http2-Moduls des Servers. Die Software gibt den Speicher, der mit einem HTTP/2-Stream verknüpft ist, nicht ordnungsgemäß frei, wenn dieser von einem Client über einen RST_STREAM-Frame abgebrochen wird.

Der technische Ablauf des Angriffs ist wie folgt:

1. Ein Angreifer baut eine persistente HTTP/2-Verbindung mit einem anfälligen Server auf.
2. Der Angreifer sendet eine Anfrage, um einen neuen Stream zu starten.
3. Unmittelbar nach dem Senden der Anfrage sendet der Angreifer einen RST_STREAM-Frame, um denselben Stream abzubrechen.
4. Der mod_http2-Handler verarbeitet den Reset, gibt jedoch den für den Kontext der ursprünglichen Anfrage zugewiesenen Speicher nicht frei.
5. Der Angreifer wiederholt diesen “Anfrage- und Reset”-Zyklus tausende Male über dieselbe Verbindung, wodurch der Speicherverbrauch des Apache-Servers linear und unbegrenzt ansteigt. Schließlich beendet das Betriebssystem den Prozess, um systemweite Instabilität zu vermeiden, was zu einem Denial of Service führt.

// Konzeptioneller Pseudocode der fehlerhaften Logik
void handle_stream_reset(h2_stream* stream) {
    // Logik zum Abbau des Streams wird ausgeführt.
    // ...
    // SCHWACHSTELLE: Der für den Anforderungskontext des Streams
    // und zugehörige Daten zugewiesene Speicher wird hier NICHT freigegeben.
    // free(stream->request_memory); // <-- Dieser Schritt fehlt.
}

• Betroffene Versionen: Apache HTTP Server 2.4.57 und 2.4.58.
• Korrigierte Version: Apache HTTP Server 2.4.59 und höher.

Empfehlungen

• Sofortiges Patchen: Aktualisieren Sie alle Instanzen des Apache HTTP Servers auf die korrigierte Version 2.4.59 oder höher. Dies ist die effektivste Form der Schadensbegrenzung.

• Mitigationsmaßnahmen:

  • Wenn ein sofortiges Update nicht möglich ist, ziehen Sie die vorübergehende Deaktivierung des HTTP/2-Protokolls in Betracht. Dies kann durch Auskommentieren der Zeile LoadModule http2_module in der Serverkonfiguration und anschließendem Neustart des Dienstes erfolgen. Beachten Sie, dass dies Auswirkungen auf die Leistung von Webanwendungen haben kann.
  • Platzieren Sie den Server hinter einem Reverse Proxy, Load Balancer oder einem Content Delivery Network (CDN), das Schutzmaßnahmen gegen HTTP/2-basierte DoS-Angriffe wie Rapid Reset implementiert hat.

• Threat Hunting & Monitoring:

  • Implementieren und überwachen Sie Alarme für ungewöhnliche und anhaltende Anstiege des Speicherverbrauchs bei httpd-Serverprozessen (oder Äquivalenten). Der durch diesen Angriff verursachte Speicherzuwachs ist konstant und nimmt normalerweise im Laufe der Zeit nicht ab.
  • Obwohl dies in Standard-Logs schwer zu erkennen ist, können spezialisierte Netzwerküberwachungen oder Logs von Web Application Firewalls (WAF) einzelne Client-IPs aufdecken, die persistente HTTP/2-Verbindungen mit einer anomalen Rate an Stream-Erstellungen und -Resets aufbauen.

• Reaktion auf Vorfälle (Incident Response):

  • Wenn der Angriff im Gange ist, identifizieren Sie die Quell-IP-Adresse und wenden Sie eine vorübergehende Sperre auf Ebene der Netzwerk-Firewall oder des Peripheriegeräts an.
  • Versuchen Sie vor dem Neustart eines abgestürzten Serverprozesses, einen Speicher-Dump für forensische Analysen zu erstellen, falls dies in Ihren Incident-Response-Verfahren vorgesehen ist.

• Defense-in-Depth:

  • Stellen Sie sicher, dass automatisierte Überwachungs- und Warnsysteme für alle kritischen Server-Gesundheitsparameter, einschließlich Speicher, CPU und Anzahl der Verbindungen, aktiv sind.
  • Implementieren Sie eine Web Application Firewall (WAF) mit Funktionen zur Inspektion und Drosselung von HTTP/2-Datenverkehr, um missbräuchliches Verhalten zu verhindern.

[Callforaction-THREAT-Footer]