Un grupo de especialistas ha detallado un método para abusar de una conocida técnica de “contrabando H2C” con el fin de autenticarse y omitir algunos mecanismos WAF en múltiples plataformas en la nube. Las primeras etapas del ataque incluyen enrutamiento y omisiones WAF en Microsoft Azure, además de una omisión de autenticación en Cloudflare Access.
Los desarrolladores de Bishop Fox mencionan que los balanceadores de carga como AWS ALB/CLB, NGINX y Apache Traffic Server bloqueen el contrabando H2C debido a que no se reenvían los encabezados requeridos para el cumplimiento de la actualización de conexiones H2C.
Los expertos también mencionan que no todos los backends cumplen, lo que pudieron probar con la variante Connection:Upgrade no compatible en la que el valor HTTP2-Settings se omite en el encabezado de Connection: “Al rediseñar la herramienta h2cSmuggler, fue posible encontrar múltiples instancias de servicios configurados listos para usar que permitían actualizaciones de H2C, permitiendo la evasión de controles de autorización”.
Esta variante de ataque, presentada a finales de 2020, abusa de los front-end que no son conscientes del H2C para crear un túnel hacia los sistemas backend, permitiendo a los actores de amenazas esquivar las reglas de reescritura del front-end y explotar los encabezados HTTP internos.
Cabe recordar que este es un protocolo obsoleto, que actualiza una conexión HTTP transitoria regular a una conexión persistente usando el protocolo binario HTTP2; cuando una solicitud HTTP emitida a un proxy inverso incluye un encabezado Connection:Upgrade, este proxy mantiene una conexión persistente y el alcance de la comunicación continua entre el cliente y el servidor: “Al usar el contrabando H2C, es posible omitir las reglas de enrutamiento, que emplea proxy inverso al procesar solicitudes basadas en rutas”, mencionan los expertos.
Al respecto, Microsoft Azure menciona que las puertas de enlace de aplicaciones de Azure ofrecen la capacidad de conectar el WAF de Azure a la puerta de enlace: “Con la puerta de enlace de acceso eliminando la configuración HTTP2 del encabezado de actualización pero dejando las demás intactas, los investigadores pueden evitar las reglas de enrutamiento”.
Por otra parte, las reglas aplicadas por Cloudflare Access, un servicio de autenticación impuesto por el equilibrador de carga de Cloudflare, pueden omitirse porque el proxy de solicitud modifica el encabezado de actualización para excluir HTTP2-Settings, pero retiene los otros encabezados.
Cloudflare recibió un reporte a través de su programa de recompensas, por lo que la compañía ya ha establecido los mecanismos necesarios para prevenir la explotación de esta falla. Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
