Webプロキシ/アクセラレータにセキュリティ回避の脆弱性、確認と更新を

CERT Coordination Center (CERT/CC, Carnegie Mellon University)は8月6日(米国時間)、「VU#357312 - HTTP Request Smuggling in Web Proxies」において、HTTP/1.1バックエンドWebサーバに対してHTTP/2をサポートするHTTP WebプロキシおよびWebアクセラレータに、HTTPリクエストスマグリングの脆弱性が存在すると伝えた。この脆弱性を悪用されると、攻撃者によってネットワークセキュリティ対策を回避され、内部の保護されたサーバへのアクセスおよび機密データの漏洩のおそれがあるとされている。

• VU#357312 - HTTP Request Smuggling in Web Proxies

この問題に対する基本的な対策は、修正が実施されたバージョンへアップデートを行うことだ。しかし、本稿執筆時点でこの問題が存在すると明らかにしているのはF5 Networksのみで、23のベンダーは自社製品に同問題が存在するかどうかを明らかにしていない。今後は、他のベンダーが脆弱性として情報を公開する可能性があり注意が必要。

本稿執筆時点で脆弱性の存在を明らかにしているF5 Networksの製品情報は次のページに掲載されている。

• Overview of HTTP/2 desync attacks
• BIG-IP LTM HTTP/2 desync attacks: malicious CRLF placement security exposure
• BIG-IP LTM HTTP/2 desync attacks: request line injection
• BIG-IP LTM and NGINX are not exposed to certain desync attacks

CERT Coordination Centerは参考情報として次のページも挙げており、WebプロキシやWebアクセラレータを使用している場合はこうした情報もチェックしておくことが望まれる。

• HTTP Request Smuggling Research | PortSwigger Research
• rfc7540
• HTTP/2: The Sequel is Always Worse | PortSwigger Research
• WSTG - Latest | OWASP