Neue Sicherheitslücke in Varnish Cache erlaubt Denial-of-Service-Angriffe
Ein Sicherheitsbulletin vom 18. März 2024 warnt vor einer Schwachstelle in Varnish Cache, einem beliebten HTTP-Accelerator. Die Schwachstelle CVE-2024-30156 betrifft Versionen vor 7.3.2, 7.4.3 (und vor 6.0.13 LTS) sowie Varnish Enterprise 6 vor Version 6.0.12r6.
Sie ermöglicht Angreifern, eine sogenannte „Broke Window Attack“ durchzuführen. Dabei werden die Credits für das Steuerungsfenster einer HTTP/2-Verbindung erschöpft, was zu einer Unterbrechung der Kommunikation zwischen Server und Client führen kann. Dieser Angriff kann als eine Form des Distributed Denial-of-Service (DoS) angesehen werden.
Die Schwachstelle wurde erstmals 2019 theoretisiert und im August 2023 bestätigt. Im Laufe der Untersuchung wurde festgestellt, dass diese spezifische Sicherheitslücke es einem Angreifer ermöglicht, die HTTP/2-Verbindungskontrolle des Varnish-Servers in eine Sackgasse zu treiben. Dies führt dazu, dass der Server nicht mehr in der Lage ist, Streams zu verarbeiten, wodurch die Ressourcen dauerhaft gebunden bleiben. Von der Schwachstelle sind alle Varnish Cache-Versionen mit HTTP/2-Unterstützung betroffen, ausgenommen die neuesten Updates: Varnish Cache 7.3.2, 7.4.3, die 6.0 LTS-Version 6.0.13 und Varnish Enterprise 6.0.12r6.
Anwender von Varnish Cache werden dringend aufgefordert, auf die neuesten Versionen zu aktualisieren, um diese Schwachstelle zu beheben. Wenn ein sofortiges Update nicht möglich ist, kann das Problem gemildert werden, indem die Unterstützung für HTTP/2 vorübergehend deaktiviert wird. Nach dem Update sind zwei Milderungsmaßnahmen standardmäßig aktiviert, darunter ein neues h2_window_timeout
, das „gebrochene“ HTTP/2-Streams zurücksetzt.
Administratoren können die Stabilität ihrer Systeme überwachen, indem sie den MAIN.sc_bankrupt-Zähler beobachten, der bei einer Verbindungsbankrott erhöht wird. Vor der Behebung hätte mit Varnish Enterprise ein möglicher Angriff durch die Beobachtung von feststeckenden HTTP/2-Streams erkannt werden können.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: