HTTP/2 Rapid Reset – zero-day wykorzystany do największych ataków DDoS w historii

Cloudflare zaczął analizować metodę ataku i leżącą u jej podstaw lukę pod koniec sierpnia. Firma twierdzi, że nieznana do tej pory grupa wykorzystała słabość powszechnie używanego protokołu HTTP/2 do przeprowadzenia „ogromnych, hiperwolumetrycznych” ataków DDoS.

Jeden z ataków zaobserwowanych przez Cloudflare był trzykrotnie większy niż rekordowy atak wynoszący 71 milionów żądań na sekundę (RPS) zgłoszony przez firmę w lutym. Kampania HTTP/2 Rapid Reset DDoS osiągnęła szczyt na poziomie 201 milionów RPS.

Z kolei Google zaobserwowało atak DDoS, który osiągnął najwyższą prędkość 398 milionów RPS, co stanowi więcej niż siedmiokrotność największego ataku, jaki kiedykolwiek widział internetowy gigant.

W ciągu dwóch dni pod koniec sierpnia Amazon odnotował kilkanaście ataków HTTP/2 Rapid Reset, z których największy osiągnął poziom 155 milionów RPS.

Nowa metoda ataku wykorzystuje funkcję HTTP/2 zwaną „anulowaniem strumienia” poprzez wielokrotne wysyłanie żądania i natychmiastowe jego anulowanie.

„Automatyzując na dużą skalę ten trywialny wzorzec «żądaj, anuluj, żądaj, anuluj», ugrupowania zagrażające są w stanie wywołać odmowę usługi i zniszczyć dowolny serwer lub aplikację korzystającą ze standardowej implementacji protokołu HTTP/2” – wyjaśnia Cloudflare.

Firma zauważyła, że rekordowy atak wymierzony w jej klientów wykorzystał botnet składający się z jedynie 20 000 zainfekowanych urządzeń. Cloudflare, zajmujące się bezpieczeństwem sieciowym, regularnie obserwuje ataki przeprowadzane przez botnety obsługiwane przez setki tysięcy, a nawet miliony maszyn.

Podstawowa luka, która prawdopodobnie ma wpływ na każdy serwer WWW wdrażający protokół HTTP/2, jest śledzona jako CVE-2023-44487 i ma przypisany wskaźnik „wysokiej ważności” z wynikiem CVSS wynoszącym 7,5.

Cloudflare i Google opublikowały posty na blogu zawierające szczegółowe informacje techniczne na temat ataku Rapid Reset HTTP/2. AWS ograniczyła się do publikacji potwierdzającej obserwowane ataki HTTP/2 Rapid Reset.

Firmy stwierdziły, że ich istniejące zabezpieczenia DDoS w dużej mierze są w stanie obsłużyć funkcję szybkiego resetowania HTTP/2, ale wdrożyły dodatkowe zabezpieczenia dla tej metody ataku. Producenci oprogramowania serwerów internetowych zostali ostrzeżeni i rozpoczęli opracowywanie poprawek, które powinny uniemożliwić wykorzystywanie tej luki.

„Każde przedsiębiorstwo lub osoba obsługująca Internet w oparciu o protokół HTTP może być zagrożona” – ostrzega Google. „Aplikacje internetowe, usługi i interfejsy API na serwerze lub serwerze proxy mogącym komunikować się przy użyciu protokołu HTTP/2 mogą być podatne. Organizacje powinny sprawdzić, czy uruchomione przez nich serwery obsługujące protokół HTTP/2 nie są podatne, lub zastosować poprawki dostawcy dla CVE-2023-44487, aby ograniczyć wpływ tego wektora ataku.