Amazon Web Services (AWS), Cloudflare ve Google Salı günü, HTTP/2 Hızlı Sıfırlama adı verilen yeni bir tekniğe dayanan, rekor kıran dağıtılmış hizmet reddi (DDoS) saldırılarını azaltmak için adımlar attıklarını söyledi.
katman 7 saldırıları Şirketler koordineli bir açıklamada, bu durumun Ağustos 2023’ün sonlarında tespit edildiğini söyledi. Bu saldırıya karşı kümülatif duyarlılık şu şekilde izleniyor: CVE-2023-44487ve maksimum 10 üzerinden 7,5 CVSS puanına sahiptir.
Google’ın bulut altyapısına yönelik saldırılar zirveye ulaşırken Saniyede 398 milyon istek (RPS), AWS ve Cloudflare’i hedefleyenler sırasıyla 155 milyon ve saniyede 201 milyon istek (RPS) hacmini aştı.
HTTP/2 Hızlı Sıfırlama, HTTP/2 protokolünde DDoS saldırıları gerçekleştirmek için kullanılabilecek bir sıfır gün kusurunu ifade eder. HTTP/2’nin önemli bir özelliği, isteklerin eşzamanlı akışlar biçiminde ortaya çıkan tek bir TCP bağlantısı üzerinden çoğullanmasıdır.
Dahası, bir isteği iptal etmek isteyen bir müşteri, RST_STREAM çerçevesi Veri alışverişini durdurmak için. Hızlı Sıfırlama saldırısı, istekleri hızlı bir şekilde art arda göndermek ve iptal etmek için bu yöntemi kullanır, böylece sunucunun eşzamanlı akış maksimumunu atlatır ve yapılandırılmış eşiğe ulaşmadan sunucuyu aşırı yükler.
AWS’den Mark Ryland ve Tom Scholl, “HTTP/2 hızlı sıfırlama saldırıları, hızlı bir şekilde art arda istek ve sıfırlamaların yapıldığı birden fazla HTTP/2 bağlantısından oluşur.” söz konusu.
“Örneğin, bir bir dizi istek birden fazla akış için iletilecek ve ardından bu isteklerin her biri için bir sıfırlama yapılacaktır. Hedeflenen sistem, her isteği ayrıştıracak ve ona göre hareket edecek, daha sonra bir müşteri tarafından sıfırlanacak veya iptal edilecek bir istek için günlükler oluşturacaktır.”
Akışları anında sıfırlama yeteneği, her bağlantının sınırsız sayıda isteğe sahip olmasına olanak tanır ve böylece bir tehdit aktörünün, hedeflenen web sitesinin yeni gelen isteklere yanıt verme yeteneğini aşabilecek bir HTTP/2 istekleri barajı oluşturmasına ve bu istekleri etkili bir şekilde ele geçirmesine olanak tanır. aşağı.
Başka bir deyişle, tehdit aktörleri yüz binlerce HTTP/2 akışını başlatarak ve bunları yerleşik bir bağlantı üzerinden geniş ölçekte hızlı bir şekilde iptal ederek web sitelerini baskı altına alabilir ve onları çevrimdışı duruma getirebilir. Bir diğer önemli husus da bu tür saldırıların, Cloudflare tarafından gözlemlendiği üzere 20.000 makineyi ayarlayacak kadar küçük boyutlu bir botnet kullanılarak gerçekleştirilebilmesidir.
“Bu sıfır gün, tehdit aktörlerine kritik yeni araç Cloudflare’in güvenlik şefi Grant Bourzikas, “İsviçre Çakısı’ndaki güvenlik açıklarından yararlanarak kurbanlarına daha önce hiç görülmemiş bir büyüklükte saldırıyor” dedi. söz konusu.
HTTP/2, tüm web sitelerinin %35,6’sı tarafından kullanılıyor W3Tech’ler. tarafından paylaşılan veri başına HTTP/2 kullanan isteklerin yüzdesi %77’dir. Web Almanağı.
Google Cloud, Hızlı Sıfırlama saldırılarının, ilk sürüm kadar etkili olmasa da standart HTTP/2 DDoS saldırılarından daha etkili olan birden fazla çeşidini gözlemlediğini söyledi.
Juho Snellman ve Daniele Lamartino, “İlk varyant akışları hemen iptal etmiyor, bunun yerine aynı anda bir dizi akış açıyor, bir süre bekliyor, ardından bu akışları iptal ediyor ve ardından hemen başka bir büyük akış kümesi açıyor.” söz konusu.
“İkinci değişken, akışların tamamen iptal edilmesini ortadan kaldırıyor ve bunun yerine iyimser bir şekilde, sunucunun tanıttığı sayıdan daha fazla eşzamanlı akış açmaya çalışıyor.”
F5, bir bağımsız danışmanlık saldırının NGINX HTTP/2 modülünü etkilediğini söyledi ve müşterilerini, eşzamanlı akış sayısını varsayılan 128 ile sınırlamak ve HTTP bağlantılarını 1000 isteğe kadar sürdürmek için NGINX yapılandırmalarını güncellemeye çağırdı.
Bourzikas ayrıca, “Bugünden sonra, tehdit aktörleri HTTP/2 güvenlik açığının büyük ölçüde farkında olacak ve savunmacılar ile saldırılar arasındaki yarışı (ilk yama uygulayan veya ilk önce uygulayan) istismar etmek ve başlatmak kaçınılmaz olarak önemsiz hale gelecek” dedi. “Kuruluşlar, sistemlerin test edileceğini varsaymalı ve korumayı sağlamak için proaktif önlemler almalıdır.”
