HTTP/2的隐藏危机：CVE-2023-44487深度剖析(图文)

漏洞惊现：它是谁？

在当今数字化时代，HTTP/2 协议作为现代网络通信的重要支柱，承载着海量的数据传输任务。它的出现，极大地提升了网络传输的效率和性能，让我们在浏览网页、观看视频、进行在线交易等网络活动时，享受到了更快速、更流畅的体验。从大型电商平台的商品展示，到社交媒体平台的动态加载，HTTP/2 协议无处不在，默默支撑着我们日常的网络生活。
然而，就在这样一个看似可靠的协议中，却惊现了一个名为 CVE-2023-44487 的漏洞。这个漏洞的出现，犹如一颗投入平静湖面的石子，在网络安全领域激起了千层浪。一时间，各大安全机构、技术论坛纷纷聚焦于此，众多技术专家和安全爱好者们也展开了热烈的讨论和深入的研究。那么，这个 CVE-2023-44487 漏洞究竟是何方神圣？它又为何能引起如此大的轰动呢？接下来，就让我们一同揭开它神秘的面纱。

原理揭秘：攻击如何发生？

要深入理解 CVE-2023-44487 漏洞的攻击原理，我们首先得了解 HTTP/2 协议的核心特性 —— 多路复用 。在 HTTP/2 协议中，一个 TCP 连接上可以同时存在多个并发的数据流，这些数据流被分割成一个个的帧进行传输。每个帧都有特定的类型，比如 SETTINGS 帧用于传递连接的配置参数，HEADERS 帧包含 HTTP 请求头信息，RST_STREAM 帧则用于取消一个数据流 。
正常情况下，客户端发送一个包含 HEADERS 帧的请求，服务器接收并处理后返回响应。但在 CVE-2023-44487 漏洞的攻击场景中，攻击者利用了 HTTP/2 协议的特性，打破了这种正常的通信流程。攻击者通过客户端不断地向服务器发送 HEADERS 帧，发起大量的 HTTP 请求。然而，在服务器还未来得及处理这些请求时，攻击者紧接着发送 RST_STREAM 帧，单方面取消这些请求流。
由于 HTTP/2 协议允许在单个连接上快速地发送和取消请求流，攻击者就可以在短时间内通过这种方式，向服务器发送海量的请求，形成一个请求 - 取消的循环。而服务器在接收到 RST_STREAM 帧后，虽然会立即关闭对应的流，但在处理这些请求的过程中，已经消耗了诸如 CPU、内存、网络带宽等系统资源 。
假设服务器的最大并发流数目设置为 100，正常情况下，服务器可以有条不紊地处理这 100 个并发请求。但攻击者利用漏洞，在极短的时间内发送了数千个请求流，然后迅速取消。服务器在不断处理这些被取消的请求流时，资源被大量占用，导致真正需要处理的合法请求无法得到及时响应，最终造成服务器拒绝服务 。就好比一个繁忙的餐厅，服务员原本可以有序地服务每一桌客人。但突然来了一群捣乱的人，他们不断地点菜，然后马上说不要了，这就使得服务员疲于应对这些无效的操作，真正有需求的客人却得不到服务 。

影响范围：哪些在 “危险区”？

CVE-2023-44487 漏洞的影响范围相当广泛，众多常见的组件和软件都被卷入其中。
在 Java 开发领域广泛应用的 Netty，若版本低于 4.1.100.Final ，就处于危险地带。Netty 作为一个高性能的网络通信框架，被大量的 Java 项目用于实现网络通信功能，从分布式系统中的远程调用，到即时通讯应用的消息传输，都离不开 Netty 的支持 。
Go 语言也未能幸免，Go 1.21.3 以下以及 Go 1.20.10 以下版本的程序存在风险。Go 语言凭借其高效的并发性能和简洁的语法，在云计算、容器编排（如 Kubernetes 主要就是用 Go 语言编写）等领域得到了广泛应用 。
Apache Tomcat，这个在 Java Web 开发中占据重要地位的服务器，多个版本区间受到影响。包括 11.0.0-M1 至 11.0.0-M11、10.1.0-M1 至 10.1.13、9.0.0-M1 至 9.0.80 以及 8.5.0 至 8.5.93 。无数的企业级 Web 应用，如电商平台的后端服务、企业内部的管理系统等，都依赖 Apache Tomcat 来部署和运行 。
此外，grpc-go 在 1.58.3 以下、1.57.1 以下、1.56.3 以下版本，jetty 在 12.0.2 以下、10.0.17 以下、11.0.17 以下、9.4.53.v20231009 以下版本，以及 nghttp2 在 v1.57.0 以下版本等，也都面临着 CVE-2023-44487 漏洞带来的威胁 。如果你正在使用这些组件和软件，且版本处于上述范围，一定要尽快进行自查，及时采取相应的防护和修复措施 。

现实冲击：攻击实例展示

在 CVE-2023-44487 漏洞被曝光后不久，就有不少企业不幸成为了攻击者的目标。其中一家知名的在线电商平台，就遭受了一场利用该漏洞发起的 DDoS 攻击 。该电商平台每天都要处理海量的商品浏览、下单、支付等业务请求，其服务器承载着巨大的压力 。攻击者瞅准了平台使用的软件组件存在 CVE-2023-44487 漏洞这一弱点，发动了猛烈的攻击。
攻击者通过控制大量的僵尸网络，向电商平台的服务器发送海量的包含 HEADERS 帧和 RST_STREAM 帧的 HTTP 请求。这些请求如同潮水一般涌来，服务器瞬间陷入了困境。在攻击发生后的短短几分钟内，服务器的 CPU 利用率就飙升至 100% ，内存也被迅速占满 。原本流畅运行的业务系统开始出现严重的卡顿，页面加载时间从原本的秒级延长到了数十秒甚至更长 。许多用户在访问平台时，看到的不再是琳琅满目的商品，而是长时间的加载提示或者干脆就是无法访问的错误页面 。
随着攻击的持续，电商平台的业务几乎陷入了停滞状态。订单无法正常提交，支付功能也无法使用 。据事后统计，这次攻击持续了大约两个小时，在这期间，平台的销售额损失高达数百万元 。不仅如此，大量用户因为无法正常购物，对平台的满意度急剧下降，部分用户甚至表示以后不会再选择该平台进行购物 。这次攻击对该电商平台的声誉造成了极大的损害，后续为了挽回用户信任，平台不得不投入大量的资金进行市场推广和用户回馈活动 。
类似的攻击事件并非个例，还有一家提供在线游戏服务的公司也未能幸免。在遭受利用 CVE-2023-44487 漏洞的 DDoS 攻击后，游戏服务器频繁出现掉线、卡顿等问题 。玩家们在游戏过程中体验极差，纷纷在社交媒体上表达不满 。由于游戏服务的中断，该公司流失了大量的活跃玩家，营收也受到了显著的影响 。这些真实发生的攻击事件，无疑给我们敲响了警钟，CVE-2023-44487 漏洞带来的危害不容小觑，它可以在短时间内给企业的业务和声誉造成巨大的损失 。

应对之策：如何守护安全？

面对 CVE-2023-44487 漏洞的威胁，我们不能坐以待毙，必须采取有效的措施来保护我们的系统安全 。
在检测方面，我们可以利用一些开源的检测脚本，如https://github.com/bcdannyboy/CVE-2023-44487 上提供的脚本。这些脚本能够帮助我们快速地检测服务器是否正在遭受利用该漏洞的攻击。通过运行这些脚本，我们可以实时监控服务器的 HTTP/2 请求情况，一旦发现有异常的大量 HEADERS 帧和 RST_STREAM 帧的组合请求，就能及时发出警报 。
缓解措施也是必不可少的。开启 WAF（Web 应用防火墙）或 DDoS 防御相关安全系统是一个不错的选择。这些安全系统通常具备速率限制功能，可以对 HTTP 请求的频率进行限制。当攻击者试图利用漏洞发送海量请求时，WAF 或 DDoS 防御系统能够识别出异常的流量模式，对其进行拦截或限制，从而间接缓解漏洞带来的威胁 。同时，我们应尽量避免将应用完全暴露至公网，如果必须暴露，也可以通过设置访问白名单等方式，只允许特定的 IP 地址或 IP 段访问，减少遭受攻击的风险 。另外，在 Web 服务上暂时禁用 HTTP2 协议也是一种可行的缓解办法。虽然 HTTP2 协议带来了诸多性能提升，但在漏洞未修复的情况下，禁用它可以从根源上杜绝利用该漏洞的攻击 。不过，禁用 HTTP2 协议可能会对用户体验产生一定的影响，所以在采取这一措施时需要谨慎权衡 。
从长远来看，及时升级软件版本是解决问题的根本之道 。对于受影响的组件，如 Netty 要升级到 4.1.100.Final 及以上版本，Go 需升级到 1.21.3 及以上或者 1.20.10 及以上版本 。Apache Tomcat 的安全版本分别为 11.0.0-M12 及以上、10.1.14 及以上、9.0.81 及以上、8.5.94 及以上 。grpc-go 要升级到 1.58.3 及以上、1.57.1 及以上、1.56.3 及以上版本，jetty 需升级到 12.0.2 及以上、10.0.17 及以上、11.0.17 及以上、9.4.53.v20231009 及以上版本，nghttp2 要升级到 v1.57.0 及以上版本 。在升级过程中，一定要注意备份重要的数据，并且进行充分的测试，确保升级后的系统能够正常运行 。

总结展望：网络安全需警惕

CVE-2023-44487 漏洞犹如一场突如其来的风暴，席卷了众多网络组件和服务，给网络安全带来了巨大的挑战 。从漏洞原理来看，它巧妙地利用了 HTTP/2 协议的特性，通过精心构造的请求 - 取消循环，对服务器资源进行疯狂的消耗，进而导致拒绝服务 。其影响范围广泛，涉及到 Java、Go 等多种编程语言的相关组件，以及 Apache Tomcat、Netty 等常用的服务器和网络通信框架 。众多企业的真实遭遇也向我们展示了该漏洞的破坏力，不仅业务会陷入停滞，经济遭受损失，企业的声誉也会受到严重的损害 。
然而，面对这样的挑战，我们并非毫无还手之力 。通过有效的检测工具、合理的缓解措施以及及时的软件升级，我们可以在一定程度上抵御该漏洞带来的威胁 。但这也给我们敲响了警钟，网络安全并非一劳永逸的事情，新的漏洞随时可能出现 。我们需要时刻保持警惕，持续关注网络安全动态，定期对系统进行安全检查和更新 。只有这样，我们才能在不断变化的网络环境中，守护好自己的网络安全防线 。希望大家都能重视网络安全，积极采取行动，共同营造一个安全、稳定的网络空间 。

关于墨者安全
墨者安全致力于安全防护、服务器高防、网络高防、ddos防护、cc防护、dns防护、防劫持、高防服务器、高防dns、网站防护等方面的服务，全网第一款指纹识别技术防火墙，自研的WAF指纹识别架构，提供任意CC和DDoS攻击防御