Cloudflare, Google й AWS оголосили, що нова вразливість нульового дня під назвою HTTP/2 Rapid Reset була використана зловмисниками для запуску найбільших розподілених атак типу «відмова в обслуговуванні» (DDoS) в історії Інтернету, повідомляє Security Week.
Cloudflare почала аналізувати метод атаки й основну вразливість наприкінці серпня. Компанія стверджує, що невідомий зловмисник скористався недоліком у широко використовуваному протоколі HTTP/2 для запуску «величезних, гіпероб’ємних» DDoS-атак.
Одна з атак, зафіксованих Cloudflare, була втричі більшою, ніж рекордна атака у 71 мільйон запитів на секунду (RPS), про яку компанія повідомила в лютому. Зокрема, кампанія HTTP/2 Rapid Reset DDoS досягла піку в 201 мільйон RPS.
У випадку з Google компанія спостерігала DDoS-атаку, яка досягла піку в 398 мільйонів RPS, що більш ніж у 7 разів перевищує найбільшу атаку, яку інтернет-гігант бачив раніше.
Протягом двох днів наприкінці серпня в Amazon спостерігали понад десяток атак HTTP/2 Rapid Reset, найбільша з яких досягла піку у 155 мільйонів RPS.
Новий метод атаки зловживає функцією HTTP/2 під назвою «Скасування потоку», багаторазово надсилаючи запит і негайно скасовуючи його.
«Шляхом масштабної автоматизації цього тривіального шаблону «Запит, скасування, запит, скасування» зловмисники можуть створювати відмову в обслуговуванні та виводити з ладу будь-який сервер або програму, що виконує стандартну реалізацію HTTP/2», – пояснили в Cloudflare.
Компанія зазначила, що рекордна атака, спрямована на її клієнтів, задіяла ботнет лише з 20 тисяч скомпрометованих пристроїв. Фірма веббезпеки регулярно стикається з атаками через бот-мережі, на яких працюють сотні тисяч і навіть мільйони машин.
Основна вразливість, яка, як вважають, впливає на кожен вебсервер, що реалізує HTTP/2, відстежується як CVE-2023-44487 і їй присвоєно рейтинг «високої серйозності» з оцінкою CVSS 7,5.
Cloudflare і Google опублікували дописи у блозі з технічними деталями атаки HTTP/2 Rapid Reset. AWS також опублікував допис у блозі з описом атак HTTP/2 Rapid Reset, які спостерігав.
Компанії заявили, що наявні засоби захисту від DDoS в основному здатні впоратися зі швидким скиданням HTTP/2, але вони впровадили додаткові засоби пом’якшення цього методу атаки. Компанії програмного забезпечення для вебсерверів були попереджені й почали розробляти патчі, які мають запобігти використанню вразливості.
«Будь-яке підприємство або окрема особа, яка обслуговує навантаження на основі HTTP в Інтернеті, можуть опинитися під загрозою цієї атаки. Вебзастосунки, служби та API на сервері або проксі-сервері, здатні спілкуватися за допомогою протоколу HTTP/2, можуть бути вразливими. Організації повинні переконатися, що будь-які сервери, які вони використовують і які підтримують HTTP/2, не є вразливими або застосувати виправлення постачальника для CVE-2023-44487, щоб обмежити вплив цього вектора атак», – попередили в Google.
Читайте також на ProIT: Звіт Verizon 2023 DBIR: домінують атаки DDoS, а претекстінг стимулює зростання атак BEC.
Підписуйтеся на ProIT у Telegram, щоб не пропустити жодну публікацію!