从8月28日至29日期间,Amazon Web Services、Cloudflare和Google Cloud分别独立观察到DDoS洪水攻击,其中出现了多波流量,每波仅持续几分钟。攻击目标是云端和网络基础设施供应商,未知的肇事者是该事件的幕后黑手,但很明显,他们利用了HTTP/2协议中的一个漏洞,追踪为CVE-2023-44487,其高严重性CVSS评分为7.5分(满分为10分)。此次事件被称为「HTTP/2快速重置(HTTP/2 Rapid Reset)」的零时差攻击。
根据Cloudflare的说法,HTTP/2是互联网和大多数网站运作方式的基础。HTTP/2负责浏览器如何与网站交互运作,允许浏览器快速『请求』查看图像和文字等内容,并且无论网站多么复杂,都可以一次完成。
Cloudflare表示,HTTP/2快速重置攻击技术涉及一次发出数十万个HTTP/2请求,然后立即取消它们。Cloudflare于10月10日发布的关于快速重置攻击的公告说明,通过大规模自动化这种『请求、取消、请求、取消』模式,威胁行为者会压垮网站,并能够使任何使用HTTP/ 2的网站离线。
HTTP/2协议在大约60%的Web应用程序中使用。据了解Cloudflare在8月份活动的高峰期,每秒收到超过2.01亿个请求(rps)。Cloudflare并表示某些组织在采取缓解措施时看到了更高的请求数。2022年的DDoS攻击最高峰值为7100万rps,Cloudflare收到的2.01亿个rps是去年的三倍。
同时,Google观察到rps高峰达到3.98亿,是先前针对其资源攻击的七倍半;AWS检测到针对Amazon CloudFront服务的峰值超过1.55亿rps。
Google在其帖文中指出,从规模上看,这次两分钟的攻击产生的请求数量比维基百科报告的整个9月份的文章浏览总数还要多。
快速重置不仅是一种强大的武器,而且也是一种高效的武器。AWS、Cloudflare和Google与其他云端、DDoS安全性和基础设施供应商合作,主要通过负载平衡和其他边缘策略最大程度减少快速重置攻击的影响。但这并不代表网络受到保护。许多组织仍然容易受到攻击媒介的影响,并且需要主动修补HTTP/2才能免受威胁。
Cloudflare表示这次事件代表了DDoS攻击格局的重要演进,也是目前观察到的最大规模。该公司认为对于一个相对较小的僵尸网络来说,可以输出如此大量的请求,有可能使几乎所有支持HTTP/2的服务器或应用程序瘫痪,这突显了CVE-2023-44487对未受保护的网络的威胁有多大。
到目前为止,HTTP/2快速重置攻击并未产生其背后的网络攻击者所希望的重大影响,这项攻击技术需要被高度关注,因为DDoS攻击仍然是网络攻击者最喜欢使用的工具之一,而且随着时间的推移,它们只会变得更加强大和复杂。
保护建议
对于企业和个人用户,最有效的防护方法是更新和补丁。当供应商发布补丁时,应立即应用。对于HTTP/2协议中的漏洞,云服务提供商和网络基础设施供应商已经开始发布修补程序。如果您的企业使用了这些服务,确保您已经应用了这些修补程序。
此外,建议企业:
保持您的网络和系统的安全性。这包括定期更新和升级硬件和软件,尽可能减少受攻击的机会。
使用DDoS防御工具。这些工具可以帮助您监控网络流量,并在检测到异常活动时提供警报。
建立强大的安全文化。教育员工识别和防止网络攻击是必不可少的,包括怎样处理垃圾邮件、识别网络钓鱼攻击等。
在您的网络中使用多层安全策略。这包括使用防火墙、入侵检测系统(IDS)、入侵防御系统(IPS)和其他安全措施。
对于个人用户,您可以:
保持设备的更新。确保您的计算机、智能手机和其他设备上的软件都是最新的,以减少受攻击的机会。
安装反病毒软件。这可以帮助您检测和阻止恶意软件。
不要点击来自未知来源的链接。这些链接可能会导致恶意软件的下载。
使用强密码,并定期更换。这可以帮助防止黑客通过猜测您的密码来获得您的信息。
在未来,我们可以预期DDoS攻击将继续演变,但通过持续的教育和预防措施,我们可以保护自己不受这些威胁的影响。
原创文章,作者:首席安全官,如若转载,请注明出处:https://cncso.com/h2-zero-day-vulnerability-cve-2023-44487.html