Cloudflare, Google i AWS ujawniły w zeszły wtorek, iż hakerzy wykorzystali nową lukę dnia zerowego o nazwie „HTTP/2 Rapid Reset” do przeprowadzenia największych ataków typu rozproszona odmowa usługi (DDoS) w historii Internetu.
Cloudflare zaczął analizować metodę ataku i leżącą u jej podstaw lukę pod koniec sierpnia. Firma twierdzi, iż nieznana do tej pory grupa wykorzystała słabość powszechnie używanego protokołu HTTP/2 do przeprowadzenia „ogromnych, hiperwolumetrycznych” ataków DDoS.
Jeden z ataków zaobserwowanych przez Cloudflare był trzykrotnie większy niż rekordowy atak wynoszący 71 milionów żądań na sekundę (RPS) zgłoszony przez firmę w lutym. Kampania HTTP/2 Rapid Reset DDoS osiągnęła szczyt na poziomie 201 milionów RPS.
Z kolei Google zaobserwowało atak DDoS, który osiągnął najwyższą prędkość 398 milionów RPS, co stanowi więcej niż siedmiokrotność największego ataku, jaki kiedykolwiek widział internetowy gigant.
W ciągu dwóch dni pod koniec sierpnia Amazon odnotował kilkanaście ataków HTTP/2 Rapid Reset, z których największy osiągnął poziom 155 milionów RPS.
Nowa metoda ataku wykorzystuje funkcję HTTP/2 zwaną „anulowaniem strumienia” poprzez wielokrotne wysyłanie żądania i natychmiastowe jego anulowanie.
„Automatyzując na dużą skalę ten trywialny wzorzec «żądaj, anuluj, żądaj, anuluj», ugrupowania zagrażające są w stanie wywołać odmowę usługi i zniszczyć dowolny serwer lub aplikację korzystającą ze standardowej implementacji protokołu HTTP/2” – wyjaśnia Cloudflare.
Firma zauważyła, iż rekordowy atak wymierzony w jej klientów wykorzystał botnet składający się z jedynie 20 000 zainfekowanych urządzeń. Cloudflare, zajmujące się bezpieczeństwem sieciowym, regularnie obserwuje ataki przeprowadzane przez botnety obsługiwane przez setki tysięcy, a choćby miliony maszyn.
Podstawowa luka, która prawdopodobnie ma wpływ na każdy serwer WWW wdrażający protokół HTTP/2, jest śledzona jako CVE-2023-44487 i ma przypisany wskaźnik „wysokiej ważności” z wynikiem CVSS wynoszącym 7,5.
Cloudflare i Google opublikowały posty na blogu zawierające szczegółowe informacje techniczne na temat ataku Rapid Reset HTTP/2. AWS ograniczyła się do publikacji potwierdzającej obserwowane ataki HTTP/2 Rapid Reset.
Firmy stwierdziły, iż ich istniejące zabezpieczenia DDoS w dużej mierze są w stanie obsłużyć funkcję szybkiego resetowania HTTP/2, ale wdrożyły dodatkowe zabezpieczenia dla tej metody ataku. Producenci systemu serwerów internetowych zostali ostrzeżeni i rozpoczęli opracowywanie poprawek, które powinny uniemożliwić wykorzystywanie tej luki.
„Każde przedsiębiorstwo lub osoba obsługująca Internet w oparciu o protokół HTTP może być zagrożona” – ostrzega Google. „Aplikacje internetowe, usługi i interfejsy API na serwerze lub serwerze proxy mogącym komunikować się przy użyciu protokołu HTTP/2 mogą być podatne. Organizacje powinny sprawdzić, czy uruchomione przez nich serwery obsługujące protokół HTTP/2 nie są podatne, lub zastosować poprawki dostawcy dla CVE-2023-44487, aby ograniczyć wpływ tego wektora ataku.