“HTTP/2 Hızlı Sıfırlama” adı verilen sıfır gün saldırısının temelinde İnternet çapındaki bir güvenlik açığı yatıyor ve bu saldırı, şimdiye kadarki tüm saldırılardan çok daha büyük bir dağıtılmış hizmet reddi (DDoS) seli ile sonuçlandı. kaydedildi. Araştırmacılar bunun DDoS tehditlerinin gelişiminde yeni bir aşamaya işaret ettiğini belirtti.
Amazon Web Services, Cloudflare ve Google Cloud’un her biri, her biri yalnızca birkaç dakika süren birden fazla trafik dalgası içeren söz konusu saldırıyı bağımsız olarak gözlemledi. Bulut ve İnternet altyapısı sağlayıcılarını hedef aldılar ve saldırı 28-29 Ağustos tarihleri arasında gerçekleşti. Olayın arkasında bilinmeyen failler var ancak sistemdeki bir hatadan yararlandıkları açık. HTTP/2 protokolüTüm Web uygulamalarının yaklaşık %60’ında kullanılır.
AWS, Cloudflare ve Google, Hızlı Sıfırlama saldırılarının gerçek dünyadaki etkilerini en aza indirmek için başta yük dengeleme ve diğer uç stratejiler olmak üzere diğer bulut, DDoS güvenliği ve altyapı sağlayıcılarıyla koordineli bir şekilde çalıştı. Ancak bu, İnternet’in korunduğu anlamına gelmez; Pek çok kuruluş hâlâ saldırı vektörüne karşı hassastır ve tehdide karşı bağışıklık kazanabilmek için HTTP/2 örneklerine proaktif olarak yama uygulaması gerekecektir.
Hızlı Sıfırlama DDoS Saldırıları Nasıl Çalışır?
HTTP/2 içindeki saldırıya duyarlılık CVE-2023-44487 olarak izleniyor ve 10 üzerinden 7,5 gibi yüksek önemde bir CVSS puanı taşıyor.
Cloudflare’e göre HTTP/2, “İnternet’in ve çoğu web sitesinin işleyişinin temel bir parçasıdır. HTTP/2, tarayıcıların bir web sitesiyle nasıl etkileşimde bulunduğundan sorumludur ve onlara resim ve metin gibi şeyleri hızlı bir şekilde görüntüleme ‘talep etmelerine’ olanak tanır ve Web sitesi ne kadar karmaşık olursa olsun hepsi aynı anda.”
Şirketin analizine göre saldırı tekniği, yüz binlerce HTTP/2 isteğinin aynı anda yapılmasını ve ardından bunların hemen iptal edilmesini içeriyor.
“Bu ‘istek, iptal, talep, iptal’ modelinin geniş ölçekte otomatikleştirilmesiyle, tehdit aktörleri web sitelerini baskı altına alıyor ve çevrimdışı olarak HTTP/2 kullanan her şeyi devre dışı bırakabiliyor.” Cloudflare’in Hızlı Sıfırlama saldırılarına ilişkin tavsiyesi10 Ekim’de yayınlandı.
Dark Reading’e yapılan bir medya açıklamasında, Ağustos kampanyasının zirvesi sırasında Cloudflare’in saniyede 201 milyonun üzerinde istek (rps) gördüğü belirtildi ve “bazı kuruluşların, azaltımlarının zamanlaması nedeniyle daha da büyük sayılara tanık olduğu” belirtildi. Bu önceki rekor sahibinin üç katı büyüklüğünde. geçen yıl 71 milyon rps’ye ulaşan bir DDoS saldırısı.
Bu arada Google, kaynaklarına yönelik daha önce yapılan herhangi bir saldırıdan yedi buçuk kat daha büyük olan 398 milyon rps’lik bir zirve gözlemledi; AWS, Amazon CloudFront hizmetini hedef alan 155 milyon rps’nin üzerinde bir zirve tespit etti.
“Ölçeklendirme açısından bu [peak] Google araştırmacıları 10 Ekim tarihli bir gönderide, iki dakikalık saldırının, Wikipedia’nın tüm Eylül ayı boyunca bildirdiği toplam makale görüntüleme sayısından daha fazla talep oluşturduğuna dikkat çekti.
Yöntemin gücü, Ağustos tsunamisinin 20.000’den az düğüm içeren mütevazı boyutlu bir botnet kullanılarak başlatılmasını sağlayacak kadar güçlü. Bu, Hızlı Sıfırlamayı yalnızca güçlü bir silah değil aynı zamanda oldukça etkili bir silah haline getirir.
Şirketin analizine göre “Cloudflare, yüzbinlerce ve hatta milyonlarca makineden oluşan bundan daha büyük büyüklükteki botnet’leri düzenli olarak tespit ediyor.” “Nispeten küçük bir botnet’in, HTTP/2’yi destekleyen hemen hemen her sunucu veya uygulamayı devre dışı bırakma potansiyeliyle bu kadar büyük miktarda istek göndermesi, bu güvenlik açığının korumasız ağlar için ne kadar tehditkar olduğunun altını çiziyor.”
Hızlı Sıfırlama Azaltma
AWS ve Google’a göre, ağustos ayındaki ilk sıfır gün saldırısının ardından bulut sağlayıcıları ve DDoS güvenlik sağlayıcıları tarafından uygulamaya konulan kapsamlı önlemlere rağmen saldırganlar, hatayı kullanarak sürekli olarak DDoS girişimleri başlatıyor.
“Bu iki gün boyunca AWS, bir düzineden fazla HTTP/2 hızlı sıfırlama olayını gözlemledi ve hafifletti ve Eylül ayı boyunca bu yeni tür HTTP/2 istek taşmasını görmeye devam etti.” Bulut devi bugün bir gönderide şunları söyledi:.
Google araştırmacılarına göre “İnternet’e HTTP tabanlı iş yükü sunan herhangi bir kuruluş veya kişi bu saldırı riski altında olabilir. HTTP/2 protokolünü kullanarak iletişim kurabilen bir sunucu veya proxy üzerindeki web uygulamaları, hizmetler ve API’ler savunmasız olabilir.”
“Kendi HTTP/2 özellikli sunucularını (açık kaynak veya ticari) yöneten veya çalıştıran kuruluşlar, mevcut olduğunda CVE-2023-44487 için satıcı yamalarını uygulamalıdır.”
Hızlı Sıfırlama saldırıları, arkalarındaki siber saldırganların umduğu kritik etkiyi yaratmamış olsa da, özellikle DDoS saldırılarının devam ettiği göz önüne alındığında, tehdit aktörlerinin bu tekniğe ilk etapta öncülük edebilmesi şirketlerin dikkatini çekmelidir. Siber saldırganların cephaneliklerinde önemli bir araç.
Cloudflare CSO’su Grant Bourzikas bir medya açıklamasında şunları söyledi: “Hızlı Sıfırlama gibi güvenlik açıklarından yararlanan büyük ölçekli saldırılar karmaşık ve hafifletilmesi zor olsa da, bize geliştirme aşamasındaki yeni tehdit aktörü tekniklerine dair benzeri görülmemiş bir görünürlük sağlıyor.” “‘Mükemmel açıklama’ diye bir şey olmasa da, kesintiler ve yol boyunca yaşanan aksaklıklar nedeniyle, saldırıları engellemek ve son dakika olaylarına müdahale etmek, kuruluşların ve güvenlik ekiplerinin ‘ihlali varsayma’ zihniyetiyle yaşamasını gerektirir.”