HTTP/2 Rapid Reset 零時差漏洞攻擊引發史上最大 DDoS 攻擊 最高每秒 3.98 億次

Cloudflare、Google、AWS 昨日公佈一項名為 HTTP/2 Rapid Reset 的新零時差漏洞遭到駭客濫用，發動網際網路史上最大的分散式阻斷服務 (distributed denial-of-service, DDoS) 攻擊。

Cloudflare 於八月底首先偵測到濫用 HTTP/2 一項漏洞引發的「超大、巨量」DDoS 流量，並分析展開分析攻擊手法。這波 DDoS 攻擊濫用廣為人使用的 HTTP/2 協定上一項編號 CVE-2023-44487 的漏洞，該漏洞和「串流取消 (stream cancellation)」功能有關，方法是反覆傳送呼叫再立即取消。研究人員指出，只要大規模自動化執行「呼叫、取消」、「呼叫、取消」的功能，攻擊者就能引發阻斷服務 (denial of service) 攻擊，並癱瘓伺服器或實作 HTTP/2 的應用程式。CVE-2023-44487 風險值被列為 7.5，屬於高嚴重性。所有實作 HTTP/2 的 Web 網站都會受影響。

Cloudflare 一家客戶遭到這創紀錄的攻擊。和一般 DDoS 攻擊使用數十或數百萬台裝置組成的殭屍網路不同，這次攻擊僅用了 2 萬台裝置。但是 DDoS 觀測到的三波巨大流量，其中一波流量是 2 月發生每秒呼叫 7100 萬次的那波攻擊的 3 倍有餘。

Google 偵測到最高每秒 3.98 億次，是該公司偵測到最大量的 7 倍多。Amazon 則是在八月的 2 天內觀察到十幾起 HTTP/2 Rapid Reset 攻擊，最大的一波達每秒 1.55 億次。

這些業者說，他們的 DDoS 防護都承受得了 HTTP/2 Rapid Reset，不過他們還多加了額外防護。網頁伺服器軟體公司則說已經開發修補程式來修補漏洞。

Google 警告，伺服器或代理伺服器上，使用 HTTP/2 協定通訊的 Web 應用程式、服務、API 可能受到攻擊。因此企業應留意任何支援 HTTP/2 的伺服器是否有漏洞，或已經安裝修補程式。

來源：SecurityWeek