Vom 28. bis 29. August wurden unabhängig voneinander DDoS-Flutangriffe auf Amazon Web Services, Cloudflare und Google Cloud beobachtet, bei denen mehrere Wellen von Datenverkehr beobachtet wurden, die jeweils nur wenige Minuten dauerten. Die Angriffe richteten sich gegen Anbieter von Cloud- und Netzwerkinfrastrukturen. Unbekannte Täter steckten hinter dem Vorfall, aber es ist klar, dass sie eine Schwachstelle im HTTP/2-Protokoll ausnutzten, die als CVE-2023-44487 mit einem hohen Schweregrad von 7,5 von 10 CVSS-Score verfolgt wird. Der Vorfall ist als "HTTP/2 Rapid Reset (HTTP/2 Rapid Reset)" Zero-Day-Angriff bekannt.
Laut Cloudflare ist HTTP/2 die Grundlage des Internets und der Funktionsweise der meisten Websites. HTTP/2 ist dafür verantwortlich, wie der Browser mit einer Website interagiert, und ermöglicht es dem Browser, Inhalte wie Bilder und Text schnell anzufordern, und zwar in einem einzigen Durchgang, unabhängig davon, wie komplex die Website ist.
Cloudflare sagt, dass die Technik des HTTP/2-Schnell-Reset-Angriffs darin besteht, Hunderttausende von HTTP/2-Anfragen auf einmal zu stellen und sie dann sofort abzubrechen.Cloudflare's Bulletin vom 10. Oktober über den Schnell-Reset-Angriff erklärt, dass durch die Automatisierung dieses "Anfrage, Abbruch, Anfrage, Abbruch"-Musters in großem Umfang, Bedrohungsakteure die Website überwältigen und in der Lage sind jede Website, die HTTP/2 verwendet, offline zu nehmen.
Das HTTP/2-Protokoll wird in etwa 601 TP3T der Webanwendungen verwendet. Es ist bekannt, dass Cloudflare auf dem Höhepunkt seiner Aktivität im August mehr als 201 Millionen Anfragen pro Sekunde (rps) erhalten hat und dass bestimmte Organisationen höhere Anfragezahlen sahen, als sie Maßnahmen zur Schadensbegrenzung ergriffen.2022 lag der Spitzenwert für DDoS-Angriffe bei 71 Millionen rps, und die 201 Millionen rps, die Cloudflare erhielt, waren das Dreifache des letzten Jahres. dreimal so hoch wie im letzten Jahr.
In der Zwischenzeit beobachtete Google einen Spitzenwert von 398 Millionen rps, das Siebeneinhalbfache des vorherigen Angriffs auf seine Ressourcen, und AWS entdeckte einen Spitzenwert von mehr als 155 Millionen rps gegen den CloudFront-Dienst von Amazon.
Google stellte in seinem Beitrag fest, dass der zweiminütige Angriff mehr Anfragen generierte als die Gesamtzahl der Artikelaufrufe, die Wikipedia für den gesamten Monat September meldete.
AWS, Cloudflare und Google arbeiten mit anderen Cloud-, DDoS-Sicherheits- und Infrastrukturanbietern zusammen, um die Auswirkungen von Fast-Reset-Angriffen zu minimieren, vor allem durch Lastausgleich und andere Edge-Strategien. Das bedeutet jedoch nicht, dass die Netzwerke geschützt sind. Viele Organisationen sind immer noch anfällig für Angriffsvektoren und müssen HTTP/2 proaktiv patchen, um vor Bedrohungen geschützt zu sein.
Laut Cloudflare stellt dieser Vorfall eine bedeutende Entwicklung in der DDoS-Angriffslandschaft dar und ist der größte, der bisher beobachtet wurde. Das Unternehmen ist der Ansicht, dass die Tatsache, dass ein relativ kleines Botnetz in der Lage ist, eine so große Anzahl von Anfragen zu senden und damit potenziell jeden HTTP/2-fähigen Server oder jede Anwendung lahmzulegen, unterstreicht, wie groß die Bedrohung durch CVE-2023-44487 für ungeschützte Netzwerke ist.
Bislang hat der HTTP/2 Fast Reset-Angriff nicht die von den dahinter stehenden Cyber-Angreifern erhofften signifikanten Auswirkungen gehabt, und diese Angriffstechnik muss mit großer Aufmerksamkeit beobachtet werden, da DDoS-Angriffe nach wie vor zu den bevorzugten Werkzeugen von Cyber-Angreifern gehören und mit der Zeit immer leistungsfähiger und raffinierter werden.
Empfehlungen zum Schutz
Für Unternehmen und Privatanwender sind Aktualisierungen und Patches die wirksamste Methode zum Schutz. Wenn Anbieter Patches veröffentlichen, sollten sie sofort angewendet werden. Für Schwachstellen im HTTP/2-Protokoll haben Anbieter von Cloud-Diensten und Netzwerkinfrastrukturen begonnen, Patches zu veröffentlichen. Wenn Ihr Unternehmen diese Dienste nutzt, sollten Sie sicherstellen, dass Sie diese Patches installiert haben.
Darüber hinaus wird den Unternehmen empfohlen:
Halten Sie Ihr Netz und Ihre Systeme sicher. Dazu gehört die regelmäßige Aktualisierung und Aufrüstung von Hard- und Software, um die Gefahr von Angriffen zu minimieren.
Verwenden Sie Tools zur DDoS-Abwehr. Diese Tools können Ihnen bei der Überwachung des Netzwerkverkehrs helfen und Warnmeldungen ausgeben, wenn ungewöhnliche Aktivitäten festgestellt werden.
Aufbau einer starken Sicherheitskultur. Die Schulung der Mitarbeiter zur Erkennung und Verhinderung von Cyberangriffen ist von entscheidender Bedeutung, einschließlich des Umgangs mit Spam, der Erkennung von Phishing-Angriffen usw.
Verwenden Sie eine mehrschichtige Sicherheitsstrategie in Ihrem Netzwerk. Dazu gehört der Einsatz von Firewalls, Intrusion Detection Systems (IDS), Intrusion Prevention Systems (IPS) und anderen Sicherheitsmaßnahmen.
Für einzelne Benutzer können Sie:
Halten Sie Ihre Geräte auf dem neuesten Stand. Vergewissern Sie sich, dass die Software auf Ihrem Computer, Smartphone und anderen Geräten auf dem neuesten Stand ist, um die Wahrscheinlichkeit eines Angriffs zu verringern.
Installieren Sie Antiviren-Software. Diese kann Ihnen helfen, Malware zu erkennen und zu blockieren.
Klicken Sie nicht auf Links aus unbekannten Quellen. Diese Links können zum Download von Malware führen.
Verwenden Sie sichere Passwörter und ändern Sie diese regelmäßig. Dies kann helfen zu verhindernHacker (Informatik) (Lehnwort)Informationen über Sie zu erlangen, indem sie Ihr Passwort erraten.
Wir können davon ausgehen, dass sich DDoS-Angriffe auch in Zukunft weiterentwickeln werden, aber mit kontinuierlicher Aufklärung und vorbeugenden Maßnahmen können wir uns vor diesen Bedrohungen schützen.
Originalartikel von Chief Security Officer, bei Vervielfältigung bitte angeben: https://cncso.com/de/h2-zero-day-vulnerability-cve-2023-44487.html
