HTTP/2 Rapid Reset 零時差漏洞攻擊引發史上最大 DDoS 攻擊 最高每秒 3.98 億次
Cloudflare、Google、AWS 昨日公佈一項名為 HTTP/2 Rapid Reset 的新零時差漏洞遭到駭客濫用,發動網際網路史上最大的分散式阻斷服務 (distributed denial-of-service, DDoS) 攻擊。
Cloudflare 於八月底首先偵測到濫用 HTTP/2 一項漏洞引發的「超大、巨量」DDoS 流量,並分析展開分析攻擊手法。這波 DDoS 攻擊濫用廣為人使用的 HTTP/2 協定上一項編號 CVE-2023-44487 的漏洞,該漏洞和「串流取消 (stream cancellation)」功能有關,方法是反覆傳送呼叫再立即取消。研究人員指出,只要大規模自動化執行「呼叫、取消」、「呼叫、取消」的功能,攻擊者就能引發阻斷服務 (denial of service) 攻擊,並癱瘓伺服器或實作 HTTP/2 的應用程式。CVE-2023-44487 風險值被列為 7.5,屬於高嚴重性。所有實作 HTTP/2 的 Web 網站都會受影響。
Cloudflare 一家客戶遭到這創紀錄的攻擊。和一般 DDoS 攻擊使用數十或數百萬台裝置組成的殭屍網路不同,這次攻擊僅用了 2 萬台裝置。但是 DDoS 觀測到的三波巨大流量,其中一波流量是 2 月發生每秒呼叫 7100 萬次的那波攻擊的 3 倍有餘。
Google 偵測到最高每秒 3.98 億次,是該公司偵測到最大量的 7 倍多。Amazon 則是在八月的 2 天內觀察到十幾起 HTTP/2 Rapid Reset 攻擊,最大的一波達每秒 1.55 億次。
這些業者說,他們的 DDoS 防護都承受得了 HTTP/2 Rapid Reset,不過他們還多加了額外防護。網頁伺服器軟體公司則說已經開發修補程式來修補漏洞。
Google 警告,伺服器或代理伺服器上,使用 HTTP/2 協定通訊的 Web 應用程式、服務、API 可能受到攻擊。因此企業應留意任何支援 HTTP/2 的伺服器是否有漏洞,或已經安裝修補程式。
來源:SecurityWeek