← Voltar ao blog

Falha crítica XRING na biblioteca XQUIC expõe servidores HTTP/3 a travamentos

Uma vulnerabilidade zero-day na biblioteca XQUIC da Alibaba permite que atacantes remotos derrubem servidores HTTP/3 com tráfego mínimo. Nenhum patch está disponível no momento.

TL;DR

  • XRING é uma falha crítica não corrigida na biblioteca XQUIC da Alibaba
  • Atacantes podem derrubar servidores HTTP/3 usando apenas 260 bytes de tráfego normal
  • Nenhuma autenticação ou pacotes malformados são necessários para a exploração
  • A vulnerabilidade se origina de uma única atribuição incorreta de variável
  • Organizações que usam o XQUIC devem monitorar atualizações e considerar estratégias de mitigação

Pesquisadores de segurança descobriram uma grave vulnerabilidade no XQUIC, a implementação da Alibaba dos protocolos QUIC e HTTP/3. Chamada de XRING, essa falha permite que qualquer cliente remoto cause o travamento de servidores HTTP/3 usando nada além de uma pequena quantidade de tráfego de rede padrão.

O problema foi divulgado pelo pesquisador da FoxIO, Sébastien Féry, em 8 de julho, que demonstrou que aproximadamente 260 bytes de tráfego QPACK comum são suficientes para provocar o travamento. Ao contrário de muitas vulnerabilidades, a XRING não requer privilégios especiais, autenticação ou pacotes malformados – tornando-a particularmente perigosa para serviços expostos.

Detalhes Técnicos

  • A vulnerabilidade existe devido a uma única atribuição incorreta de variável no código do XQUIC
  • Afeta o mecanismo de compressão de cabeçalhos QPACK usado nas implementações de HTTP/3
  • Atacantes podem explorar a falha remotamente sem qualquer acesso ou credenciais prévias
  • O tráfego malicioso parece completamente legítimo para sistemas de monitoramento de rede
  • Servidores travam imediatamente ao receber a sequência específica de pacotes

Impacto e Mitigação

  • Servidores HTTP/3 que utilizam a biblioteca XQUIC da Alibaba são vulneráveis a ataques de negação de serviço
  • Nenhum patch oficial foi lançado pela Alibaba até a última divulgação
  • Organizações devem identificar sistemas que executam o XQUIC e avaliar os níveis de exposição
  • A mitigação temporária pode incluir limitação de taxa ou desativação do suporte a HTTP/3 quando viável
  • Equipes de desenvolvimento devem monitorar os repositórios upstream para avisos de segurança e correções

Fontes

Fontes

Atualizações de segurança por e-mail

Um e-mail resumo quando publicarmos novos artigos de segurança (TL;DR e links para ler mais). Cancele a inscrição a qualquer momento no rodapé da mensagem. Veja nossa Política de Privacidade.

Falha crítica XRING na biblioteca XQUIC expõe servidores HTTP/3 a travamentos — Agent Breach Blog | Agent Breach