DDOS Schwachstelle in Varnish Cache gefunden

Neue Sicherheitslücke in Varnish Cache erlaubt Denial-of-Service-Angriffe

Ein Sicherheitsbulletin vom 18. März 2024 warnt vor einer Schwachstelle in Varnish Cache, einem beliebten HTTP-Accelerator. Die Schwachstelle CVE-2024-30156 betrifft Versionen vor 7.3.2, 7.4.3 (und vor 6.0.13 LTS) sowie Varnish Enterprise 6 vor Version 6.0.12r6.

Sie ermöglicht Angreifern, eine sogenannte “Broke Window Attack” durchzuführen. Dabei werden die Credits für das Steuerungsfenster einer HTTP/2-Verbindung erschöpft, was zu einer Unterbrechung der Kommunikation zwischen Server und Client führen kann. Dieser Angriff kann als eine Form des Distributed Denial-of-Service (DoS) angesehen werden.

Die Schwachstelle wurde erstmals 2019 theoretisiert und im August 2023 bestätigt. Im Laufe der Untersuchung wurde festgestellt, dass diese spezifische Sicherheitslücke es einem Angreifer ermöglicht, die HTTP/2-Verbindungskontrolle des Varnish-Servers in eine Sackgasse zu treiben. Dies führt dazu, dass der Server nicht mehr in der Lage ist, Streams zu verarbeiten, wodurch die Ressourcen dauerhaft gebunden bleiben. Von der Schwachstelle sind alle Varnish Cache-Versionen mit HTTP/2-Unterstützung betroffen, ausgenommen die neuesten Updates: Varnish Cache 7.3.2, 7.4.3, die 6.0 LTS-Version 6.0.13 und Varnish Enterprise 6.0.12r6.

Anwender von Varnish Cache werden dringend aufgefordert, auf die neuesten Versionen zu aktualisieren, um diese Schwachstelle zu beheben. Wenn ein sofortiges Update nicht möglich ist, kann das Problem gemildert werden, indem die Unterstützung für HTTP/2 vorübergehend deaktiviert wird. Nach dem Update sind zwei Milderungsmaßnahmen standardmäßig aktiviert, darunter ein neues h2_window_timeout, das “gebrochene” HTTP/2-Streams zurücksetzt.

Administratoren können die Stabilität ihrer Systeme überwachen, indem sie den MAIN.sc_bankrupt-Zähler beobachten, der bei einer Verbindungsbankrott erhöht wird. Vor der Behebung hätte mit Varnish Enterprise ein möglicher Angriff durch die Beobachtung von feststeckenden HTTP/2-Streams erkannt werden können.

Related Posts

Russische Hacker: Phishing-Angriffe auf deutsche Politiker

Im März 2024 wurde bekannt, dass die russische Hackergruppe Cozy Bear, auch bekannt als APT29 und Midnight Blizzard, in eine Phishing-Kampagne verwickelt ist, die sich gegen deutsche politische Parteien richtet. Die Kampagne nutzte E-Mails, die als Einladungen zu Abendessen mit der CDU getarnt waren, mit dem Ziel, die Windows-PCs der Empfänger mit einer Backdoor-Malware namens WINELOADER zu infizieren. Die selbe Malware, die Cozy Bear auch letztens schon für Europa Abgeordnete einsetzte, damals getarnt als eine Einladung zum Wine Tasting bei der indischen Botschaft.

Read More

Mehrere Sicherheitslücken In OpenVPN für Windows entdeckt

In einem Sicherheitsbulletin vom 22. März 2024 hebt das OpenVPN-Sicherheitsteam vier neu entdeckte Schwachstellen in der OpenVPN-Desktopanwendung für Windows hervor. Diese Sicherheitslücken, die von niedrigem bis mittlerem Risiko reichen, bergen das Potenzial für lokale Benutzer, ihre Systemprivilegien unerlaubt zu erweitern.

Read More

Sicherheitslücke in Apache Doris ermöglicht Ausführung von Remote-Code

Am 21.03.2024 wurde eine kritische Sicherheitslücke wurde in der Big Data-Analyseplattform Apache Doris bekannt, die Versionen von 1.2.0 bis 2.0.4 betrifft. Die Schwachstelle CVE-2024-27438 erlaubt die Ausführung von Remote-Code durch den Download von Code ohne Integritätsprüfung.

Read More