從8月28日至29日期間,Amazon Web Services、Cloudflare和Google Cloud分別獨立觀察到DDoS洪水攻擊,其中出現了多波流量,每波僅持續幾分鐘。攻擊目標是雲端和網路基礎設施供應商,未知的肇事者是該事件的幕後黑手,但很明顯,他們利用了HTTP/2協定中的一個漏洞,追蹤為CVE-2023-44487,其高嚴重性CVSS評分為7.5分(滿分為10分)。此次事件被稱為「HTTP/2快速重置(HTTP/2 Rapid Reset)」的零時差攻擊。
根據Cloudflare的說法,HTTP/2是網路和大多數網站運作方式的基礎。 HTTP/2負責瀏覽器如何與網站互動運作,讓瀏覽器快速『請求』查看圖像和文字等內容,無論網站多麼複雜,都可以一次完成。
Cloudflare表示,HTTP/2快速重置攻擊技術涉及一次發出數十萬個HTTP/2請求,然後立即取消它們。 Cloudflare於10月10日發布的關於快速重置攻擊的公告說明,透過大規模自動化這種『請求、取消、請求、取消』模式,威脅行為者會壓垮網站,並能夠使任何使用HTTP/ 2的網站離線。
HTTP/2協定在大約60%的Web應用程式中使用。據了解Cloudflare在8月活動的高峰期,每秒鐘收到超過2.01億個請求(rps)。 Cloudflare並表示某些組織在採取緩解措施時看到了更高的請求數。 2022年的DDoS攻擊最高峰值為7,100萬rps,Cloudflare收到的2.01億個rps是去年的三倍。
同時,Google觀察到rps高峰達到3.98億,是先前針對其資源攻擊的七倍半;AWS偵測到針對Amazon CloudFront服務的峰值超過1.55億rp。
Google在貼文中指出,從規模上看,這次兩分鐘的攻擊產生的請求數量比維基百科報告的整個9月份的文章瀏覽總數還要多。
快速重置不僅是一種強大的武器,也是一種高效的武器。 AWS、Cloudflare和Google與其他雲端、DDoS安全性和基礎設施供應商合作,主要透過負載平衡和其他邊緣策略來最大程度減少快速重置攻擊的影響。但這並不代表網路受到保護。許多組織仍然容易受到攻擊媒介的影響,並且需要主動修補HTTP/2才能免受威脅。
Cloudflare表示這次事件代表了DDoS攻擊格局的重要演進,也是目前觀察到的最大規模。該公司認為對於一個相對較小的殭屍網路來說,可以輸出如此大量的請求,有可能使幾乎所有支援HTTP/2的伺服器或應用程式癱瘓,這突顯了CVE-2023-44487對未受保護的網路的威脅有多大。
到目前為止,HTTP/2快速重置攻擊並未產生背後的網路攻擊者所希望的重大影響,這項攻擊技術需要被高度關注,因為DDoS攻擊仍然是網路攻擊者最喜歡使用的工具之一,而且隨著時間的推移,它們只會變得更加強大和複雜。
保護建議
對於企業和個人用戶,最有效的防護方法是更新和修補程式。當供應商發布補丁時,應立即套用。對於HTTP/2協定中的漏洞,雲端服務供應商和網路基礎設施供應商已經開始發布修補程式。如果您的企業使用了這些服務,請確保您已經套用了這些修補程式。
此外,建議企業:
保持您的網路和系統的安全性。這包括定期更新和升級硬體和軟體,盡可能減少受攻擊的機會。
使用DDoS防禦工具。這些工具可以幫助您監控網路流量,並在偵測到異常活動時提供警報。
建立強大的安全文化。教育員工識別和防止網路攻擊是必不可少的,包括如何處理垃圾郵件、識別網路釣魚攻擊等。
在您的網路中使用多層安全性原則。這包括使用防火牆、入侵偵測系統(IDS)、入侵防禦系統(IPS)和其他安全措施。
對於個人用戶,您可以:
保持設備的更新。確保您的電腦、智慧型手機和其他裝置上的軟體都是最新的,以減少受攻擊的機會。
安裝防毒軟體。這可以幫助您偵測和阻止惡意軟體。
不要點擊來自未知來源的連結。這些連結可能會導致惡意軟體的下載。
使用強密碼,並定期更換。這可以幫助防止駭客透過猜測您的密碼來獲得您的資訊。
在未來,我們可以預期DDoS攻擊將繼續演變,但透過持續的教育和預防措施,我們可以保護自己不受這些威脅的影響。
原创文章,作者:首席安全官,如若转载,请注明出处:https://cncso.com/tw/h2-zero-day-vulnerability-cve-2023-44487-html