Amazon Web Services (AWS), Cloudflare et Google ont annoncé mardi avoir pris des mesures pour atténuer les attaques par déni de service distribué (DDoS) record qui reposaient sur une nouvelle technique appelée HTTP/2 Rapid Reset.
Le attaques de couche 7 ont été détectés fin août 2023, ont indiqué les sociétés dans une divulgation coordonnée. La susceptibilité cumulative à cette attaque est suivie comme CVE-2023-44487et porte un score CVSS de 7,5 sur un maximum de 10.
Alors que les attaques visant l’infrastructure cloud de Google ont culminé à 398 millions de requêtes par seconde (RPS), celles destinées à AWS et Cloudflare ont dépassé respectivement un volume de 155 millions et 201 millions de requêtes par seconde (RPS).
HTTP/2 Rapid Reset fait référence à une faille zero-day du protocole HTTP/2 qui peut être exploitée pour mener des attaques DDoS. Une fonctionnalité importante de HTTP/2 est le multiplexage des requêtes sur une seule connexion TCP, qui se manifeste sous la forme de flux simultanés.
De plus, un client qui souhaite abandonner une demande peut émettre un Cadre RST_STREAM pour interrompre l’échange de données. L’attaque Rapid Reset exploite cette méthode pour envoyer et annuler des requêtes en succession rapide, contournant ainsi le flux maximum simultané du serveur et surchargeant le serveur sans atteindre son seuil configuré.
« Les attaques à réinitialisation rapide HTTP/2 consistent en plusieurs connexions HTTP/2 avec des requêtes et des réinitialisations en succession rapide », Mark Ryland et Tom Scholl chez AWS dit.
« Par exemple, un série de demandes pour plusieurs flux seront transmis suivis d’une réinitialisation pour chacune de ces demandes. Le système ciblé analysera et agira sur chaque demande, générant des journaux pour une demande qui est ensuite réinitialisée ou annulée par un client.
Cette capacité de réinitialiser les flux immédiatement permet à chaque connexion d’avoir un nombre indéfini de requêtes en cours, permettant ainsi à un acteur malveillant d’émettre un barrage de requêtes HTTP/2 qui peut submerger la capacité d’un site Web ciblé à répondre aux nouvelles requêtes entrantes, le prenant ainsi efficacement. vers le bas.
En d’autres termes, en lançant des centaines de milliers de flux HTTP/2 et en les annulant rapidement à grande échelle via une connexion établie, les acteurs malveillants peuvent submerger les sites Web et les mettre hors ligne. Un autre aspect crucial est que de telles attaques peuvent être menées à l’aide d’un botnet de taille modeste, pouvant atteindre 20 000 machines, comme l’a observé Cloudflare.
« Ce Zero Day a fourni aux acteurs de la menace une nouvel outil critique dans leur couteau suisse de vulnérabilités pour exploiter et attaquer leurs victimes à une ampleur jamais vue auparavant », Grant Bourzikas, responsable de la sécurité chez Cloudflare, dit.
HTTP/2 est utilisé par 35,6 % de tous les sites Web, selon W3Techs. Le pourcentage de requêtes utilisant HTTP/2 est de 77 %, par données partagées par Almanach Web.
Google Cloud a déclaré avoir observé plusieurs variantes des attaques Rapid Reset qui, bien que moins efficaces que la version initiale, sont plus efficaces que les attaques DDoS HTTP/2 standard.
« La première variante n’annule pas immédiatement les flux, mais ouvre un lot de flux en même temps, attend un certain temps, puis annule ces flux, puis ouvre immédiatement un autre grand lot de nouveaux flux », Juho Snellman et Daniele Lamartino dit.
« La deuxième variante supprime complètement l’annulation des flux et tente à la place, avec optimisme, d’ouvrir plus de flux simultanés que ce que le serveur annonce. »
F5, dans un conseil indépendant à lui seul, a déclaré que l’attaque affecte le module NGINX HTTP/2 et a exhorté ses clients à mettre à jour leur configuration NGINX pour limiter le nombre de flux simultanés à 128 par défaut et conserver les connexions HTTP jusqu’à 1 000 requêtes.
« A partir d’aujourd’hui, les acteurs malveillants seront largement conscients de la vulnérabilité HTTP/2 ; et il deviendra inévitablement trivial d’exploiter et de lancer la course entre les défenseurs et les attaques – premier à corriger contre premier à exploiter », a ajouté Bourzikas. « Les organisations doivent partir du principe que les systèmes seront testés et prendre des mesures proactives pour assurer leur protection. »