https://www.informationsecurity.com.tw/seminar/2024_Cloudflare/
https://www.informationsecurity.com.tw/seminar/2024_Cloudflare/

新聞

HTTP/2的零日漏洞引發有史以來最大規模的 DDoS攻擊

2023 / 10 / 12
編輯部
HTTP/2的零日漏洞引發有史以來最大規模的 DDoS攻擊
8月28 日至 29 日期間,Amazon Web Services、Cloudflare 和 Google Cloud 各自獨立觀察到DDoS泛洪攻擊,其中出現了多波流量,每波僅持續幾分鐘。攻擊目標是雲端和網路基礎設施供應商未知的肇事者是該事件的幕後黑手,但很明顯,他們利用了HTTP/2 協定中的一個漏洞,追蹤為CVE-2023-44487,其高嚴重性 CVSS 評分為 7.5 分(滿分為 10 分)。此事事件被稱為「HTTP/2 快速重置(HTTP/2 Rapid Reset)」的零時差攻擊。

根據 Cloudflare 的說法,HTTP/2 是網際網路和大多數網站運作方式的基礎。HTTP/2 負責瀏覽器如何與網站交互運作,允許瀏覽器快速『請求』查看圖像和文字等內容,並且無論網站多麼複雜,都可以一次完成。

Cloudflare表示,HTTP/2 快速重置攻擊技術涉及一次發出數十萬個 HTTP/2 請求,然後立即取消它們。Cloudflare 於10 月10 日發布的有關快速重置攻擊的公告說明,透過大規模自動化這種『請求、取消、請求、取消』模式,威脅行為者會壓垮網站,並能夠使任何使用HTTP/ 2 的網站離線。 

HTTP/ 2協定在大約 60% 的 Web 應用程式中使用。據了解Cloudflare在8 月份活動的高峰期,每秒收到超過2.01 億個請求(rps)。Cloudflare並表示某些組織在採取緩解措施時看到了更高的請求數。2022年的 DDoS 攻擊最高峰值為 7,100 萬 rps,Cloudflare收到的2.01 億個 rps 是去年的三倍。

同時,Google觀察到 rps 高峰達到 3.98 億,是先前針對其資源攻擊的七倍半;AWS 偵測到針對 Amazon CloudFront 服務的峰值超過 1.55 億 rps。

Google在其貼文中指出,從規模上看,這次兩分鐘的攻擊產生的請求數量比維基百科報告的整個9 月份的文章瀏覽總數還要多。

快速重置不僅是一種強大的武器,而且也是一種高效的武器。AWS、Cloudflare 和 Google 與其他雲端、DDoS 安全性和基礎設施供應商合作,主要透過負載平衡和其他邊緣策略最大程度減少快速重置攻擊的影響。但這並不代表網路受到保護。許多組織仍然容易受到攻擊媒介的影響,並且需要主動修補HTTP/2 才能免受威脅。
 
Cloudflare表示這次事件代表了 DDoS 攻擊格局的重要演進,也是目前觀察到的最大規模。該公司認為對於一個相對較小的殭屍網路來說,可以輸出如此大量的請求,有可能使幾乎所有支援HTTP/2 的伺服器或應用程式癱瘓,這凸顯了CVE-2023-44487 對未受保護的網路的威脅有多大。

到目前為止,HTTP/2 快速重置攻擊並未產生其背後的網路攻擊者所希望的重大影響,這項攻擊技術需要被高度關注,因為 DDoS 攻擊仍然是網路攻擊者武器庫中的重要工具。

CVE-2023-44487被披露後,雲端供應商和 DDoS 安全供應商在 8 月最初的零日攻勢之後採取多項緩解措施,但攻擊者仍在利用該漏洞持續發動 DDoS 嘗試。在這兩天裡,AWS 觀察並緩解了十多個HTTP/2 快速重置事件,並且在整個9 月份,持續看到這種新型HTTP/2 請求氾濫。

Google表示,任何向網際網路提供 HTTP 的工作負載的企業或個人都可能面臨這種攻擊的風險。伺服器或代理程式上的 Web 應用程式、服務和 API 有使用 HTTP/2 協定進行通訊者可能很都脆弱。尤其是管理或運營自己的支援 HTTP/2伺服器的組織應在盡快進行CVE-2023-44487 修補。

以下是防禦DDoS 威脅的實務建議:
  • 了解您的外部和合作夥伴網路的外部連接,以利用供應商提供的緩解措施修復任何面向網際網路的系統;
  • 了解您現有的安全保護以及保護、偵測和回應攻擊所需的能力,並立即修復網路中存在的任何問題;
  • 確保您的 DDoS 保護位於資料中心之外,因為如果流量到達您的資料中心,將很難緩解 DDoS 攻擊;
  • 確保您擁有針對應用程式的 DDoS 保護(第 7 層),並確保您擁有 Web 應用程式防火牆。此外,作為最佳實踐,請確保您對 DNS、網路流量(第 3 層)和 API 防火牆擁有完整的 DDoS 保護;
  • 確保在所有面向 Internet 的 Web 伺服器上部署 Web 伺服器和作業系統修補程式。此外,確保所有自動化(例如 Terraform 建置和映像)都已完全修補,這樣舊版的 Web 伺服器就不會意外地透過安全映像部署到生產環境中;
  • 作為最後的手段,請考慮關閉 HTTP/2 和 HTTP/3(也可能容易受到攻擊)以減輕威脅。這只是最後的手段,因為如果降級到 HTTP/1.1,將會出現嚴重的效能問題;
  • 並且,考慮在外圍使用基於雲端的輔助 DDoS 第 7 層提供者來提高韌性。