Máy chủ Jetty có thể bị khai thác để tấn công từ chối dịch vụ

[WhiteHat News #ID:2112]

Một lỗ hổng trong máy chủ web Eclipse Jetty có thể bị khai thác để làm tăng chi phí dịch vụ đám mây của tổ chức mục tiêu hoặc gây ra gián đoạn.

Jetty là máy chủ web Java và servlet container nguồn mở được sử dụng trong nhiều dự án và sản phẩm, bao gồm cả Facebook, Google và Yahoo.

Các nhà nghiên cứu của Synopsys phát hiện Jetty phiên bản 9.4.6 đến 9.4.36, 10.0.0 và 11.0.0 bị ảnh hưởng bởi lỗ hổng từ chối dịch vụ (DoS).

Sự cố được báo cho Jetty ngày 10/2 và được vá vài tuần sau đó.

“Khi Jetty xử lý một truy vấn chứa các tiêu đề có lượng lớn các tham số ‘quality’ (hay q) (chẳng hạn như những gì được thấy trên các tiêu đề truy vấn Accept, Accept-Encoding và Accept-Language), có thể gây ra tình trạng từ chối dịch vụ (DoS) do mức sử dụng CPU cao. Một truy vấn duy nhất có thể tiêu tốn vài phút thời gian của CPU trước khi được gửi đến ứng dụng”.

Theo các nhà nghiên cứu, kẻ tấn công có thể khai thác lỗ hổng này để “làm tăng chi phí dịch vụ đám mây của tổ chức hoặc làm giảm chất lượng dịch vụ”.

“Điểm mấu chốt là kẻ tấn công chỉ cần gửi được truy vấn HTTP đến máy chủ Jetty tồn tại lỗ hổng với tiêu đề Accept độc hại. Không cần xác thực. Các thành phần như bộ cân bằng tải có thể gây khó khăn cho việc khai thác”.

Theo Security Week​