С 28 по 29 августа Amazon Web Services, Cloudflare и Google Cloud независимо наблюдали DDoS-флуд-атаки, в ходе которых возникало несколько волн трафика, каждая длительностью всего несколько минут. Атака была нацелена на поставщиков облачной и сетевой инфраструктуры. За инцидентом стоят неизвестные злоумышленники, но очевидно, что они воспользовались уязвимостью в протоколе HTTP/2, отслеживаемой как CVE-2023-44487, которая имеет высокую степень серьезности. Оценка CVSS составляет 7,5 из 10. Этот инцидент называется атакой нулевого дня «HTTP/2 Rapid Reset».
По данным Cloudflare, HTTP/2 имеет основополагающее значение для работы Интернета и большинства веб-сайтов. HTTP/2 отвечает за взаимодействие браузера с веб-сайтом, позволяя браузеру быстро «запрашивать» просмотр контента, такого как изображения и текст, и может делать все это за один раз, независимо от того, насколько сложен веб-сайт.
Cloudflare сообщила, что техника атаки с быстрым сбросом HTTP/2 предполагает одновременное выполнение сотен тысяч запросов HTTP/2 и их немедленную отмену. В рекомендациях Cloudflare по атакам с быстрым сбросом от 10 октября объясняется, что, автоматизируя этот шаблон «запрос, отмена, запрос, отмена» в масштабе, злоумышленники могут перегружать веб-сайты и предоставлять возможность любому, кто использует HTTP/2. Веб-сайт находится в автономном режиме.
Протокол HTTP/2 используется примерно в веб-приложениях 60%. Понятно, что Cloudflare получила более 201 миллиона запросов в секунду (RPS) в пиковый период активности в августе. Cloudflare сообщила, что некоторые организации видят большее количество запросов при принятии мер по смягчению последствий. Пик DDoS-атак в 2022 году составил 71 миллион rps, а полученный Cloudflare 201 миллион rps — в три раза больше, чем в прошлом году.
При этом Google наблюдала пик в 398 млн rps, что в семь с половиной раз превышает предыдущую атаку на ее ресурсы; AWS зафиксировала пик более 155 млн rps против сервиса Amazon CloudFront.
В своем сообщении Google отметил, что для сравнения масштаба двухминутная атака вызвала больше запросов, чем общее количество просмотров статей, о которых сообщила Википедия за весь сентябрь.
Быстрый сброс — не только мощное, но и эффективное оружие. AWS, Cloudflare и Google работают с другими поставщиками облачных услуг, DDoS-безопасности и инфраструктуры, чтобы минимизировать влияние атак с быстрым сбросом, в первую очередь за счет балансировки нагрузки и других периферийных стратегий. Но это не означает, что сеть защищена. Многие организации по-прежнему уязвимы для векторов атак, и им потребуется заранее обновлять HTTP/2, чтобы оставаться в безопасности от угроз.
Cloudflare заявила, что этот инцидент представляет собой важную эволюцию в сфере DDoS-атак, а также является самым масштабным из наблюдавшихся до сих пор. Компания считает, что относительно небольшой ботнет, способный выдавать такой большой объем запросов, может вывести из строя практически любой сервер или приложение, поддерживающее HTTP/2, что подчеркивает уязвимость CVE-2023-44487 к незащищенным Насколько велика угроза Интернета?
До сих пор атаки с быстрым сбросом HTTP/2 не оказали того значительного воздействия, на которое надеялись стоящие за ними кибер-злоумышленники. со временем станет только более мощным и сложным.
советы по сохранению
Для предприятий и индивидуальных пользователей наиболее эффективными методами защиты являются обновления и исправления. Когда поставщик выпускает исправление, его следует применить немедленно. Поставщики облачных услуг и поставщики сетевой инфраструктуры начали выпускать исправления для уязвимостей протокола HTTP/2. Если ваша компания использует эти службы, убедитесь, что вы применили эти исправления.
Кроме того, компаниям рекомендуется:
Обеспечьте безопасность вашей сети и систем. Это включает в себя регулярное обновление и модернизацию аппаратного и программного обеспечения, чтобы свести к минимуму вероятность атаки.
Используйте инструменты защиты от DDoS. Эти инструменты могут помочь вам отслеживать сетевой трафик и выдавать оповещения при обнаружении необычной активности.
Создайте сильную культуру безопасности. Крайне важно обучать сотрудников распознавать и предотвращать кибератаки, в том числе тому, как бороться со спамом и выявлять фишинговые атаки.
Используйте многоуровневую стратегию безопасности в своей сети. Сюда входит использование межсетевых экранов, систем обнаружения вторжений (IDS), систем предотвращения вторжений (IPS) и других мер безопасности.
Для отдельных пользователей вы можете:
Постоянно обновляйте свое оборудование. Убедитесь, что программное обеспечение на ваших компьютерах, смартфонах и других устройствах обновлено, чтобы снизить вероятность подвергнуться атаке.
Установите антивирусное программное обеспечение. Это может помочь вам обнаружить и заблокировать вредоносное ПО.
Не переходите по ссылкам из неизвестных источников. Эти ссылки могут привести к загрузке вредоносного ПО.
Используйте надежные пароли и регулярно меняйте их. Это может помочь предотвратитьхакерПолучите информацию, угадав пароль.
В будущем мы можем ожидать, что DDoS-атаки будут продолжать развиваться, но при постоянном обучении и профилактических мерах мы сможем защитить себя от этих угроз.
Оригинал статьи, автор: Начальник службы безопасности, при перепечатке указать источник: https://cncso.com/ru/h2-zero-day-vulnerability-cve-2023-44487.html