Details zu einer neuen Form von DDOS, die relativ geringe Ressourcen benötigt, um einen Angriff von beispiellosem Ausmaß zu starten, was sie zu einer offensichtlichen Gefahr für Websites macht, während die Unternehmen für Serversoftware sich beeilen, Patches zu veröffentlichen, um sich dagegen zu wappnen.
HTTP/2 Quick Reset Exploit
Die Schwachstelle nutzt die Funktion HTTP/2 und HTTP/3, die mehrere Datenströme von und zu einem Server und einem Browser ermöglichen.
Das bedeutet, dass der Browser mehrere Ressourcen von einem Server anfordern und alle zurückerhalten kann, anstatt darauf warten zu müssen, dass jede Ressource einzeln heruntergeladen wird.
Der von Cloudflare, Amazon Web Services (AWS) und Google öffentlich angekündigte Exploit trägt den Namen HTTP/2 Rapid Reset.
Die überwiegende Mehrheit der modernen Webserver verwendet das Netzwerkprotokoll HTTP/2.
Da es derzeit keine Software-Patches zur Schließung der HTTP/2-Sicherheitslücke gibt, bedeutet dies, dass praktisch alle Server gefährdet sind.
Ein Exploit, der neu ist und bei dem es keine Möglichkeit gibt, ihn abzuschwächen, wird als Zero-Day-Exploit bezeichnet.
Die gute Nachricht ist, dass die Hersteller von Server-Software an Patches arbeiten, um die Schwäche des HTTP/2-Protokolls zu beheben.
Wie die HTTP/2-Sicherheitslücke "Schneller Reset" funktioniert
Das Netzwerkprotokoll HTTP/2 verfügt über eine Servereinstellung, die jederzeit eine bestimmte Anzahl von Anfragen zulässt.
Anträge, die diese Zahl überschreiten, werden abgelehnt.
Ein weiteres Merkmal des HTTP/2-Protokolls ist die Möglichkeit, eine Anfrage abzubrechen, wodurch dieser Datenstrom aus dem vordefinierten Anfrage-Limit entfernt wird.
Das ist gut, denn dadurch wird der Server frei, sodass er sich umdrehen und einen anderen Datenstrom verarbeiten kann.
Die Angreifer fanden jedoch heraus, dass es möglich ist, Millionen (ja, Millionen) von Anfragen und Absagen an einen Server zu senden und diesen zu überfluten.
Wie schwerwiegend ist der HTTP/2-Schnellreset?
Die Der HTTP/2 Rapid Reset Exploit ist außerordentlich schlecht da die Server derzeit keine Verteidigung gegen diesen Exploit haben.
Cloudflare berichtete, dass es einen DDOS 300 %-Angriff blockiert hatte, der größer war als der größte DDOS-Angriff in der Geschichte.
Der größte geblockte Angriff überschritt die Zahl von 201 Millionen Anfragen pro Sekunde (RPS).
Google berichtet von einem DDOS-Angriff, der mehr als 398 Millionen RPS erreichte.
Doch das ist nicht das ganze Ausmaß der Schwere dieser Tat.
Was diesen Exploit noch schlimmer macht, ist, dass er eine relativ unbedeutende Menge an Ressourcen benötigt, um einen Angriff zu starten.
Um DDOS-Angriffe dieser Größenordnung zu starten, sind normalerweise Hunderttausende oder sogar Millionen infizierter Computer (sog. "Botnetze") erforderlich.
Der HTTP/2 Rapid Reset Exploit benötigt nur 20.000 infizierte Computer, um Angriffe zu starten, die dreimal so groß sind wie die größten DDOS-Angriffe, die jemals aufgezeichnet wurden.
Das bedeutet, dass die Messlatte für Hacker viel niedriger liegt, um verheerende DDOS-Angriffe zu starten.
Wie kann man sich vor dem schnellen Zurücksetzen von HTTP/2 schützen?
Die Hersteller von Serversoftware arbeiten derzeit an der Veröffentlichung von Patches, um die Schwachstelle des HTTP/2-Exploits zu beheben. Kunden von Cloudflare sind derzeit geschützt und müssen sich keine Sorgen machen.
Cloudflare weist darauf hin, dass im schlimmsten Fall, wenn ein Server angegriffen wird und wehrlos ist, der Serveradministrator das HTTP-Netzwerkprotokoll auf HTTP/1.1 herunterstufen kann.
Durch die Herabstufung des Netzwerkprotokolls werden die Hacker daran gehindert, ihren Angriff fortzusetzen, aber die Serverleistung wird möglicherweise langsamer (was zumindest besser ist, als offline zu sein).
Sicherheitsbulletins lesen
Artikel aus dem Cloudflare-Blog :
HTTP/2 Zero-Day-Schwachstelle führt zu rekordverdächtigen DDoS-Angriffen
Sicherheitswarnung von Google Cloud :
Google milderte den bisher größten DDoS-Angriff mit einem Spitzenwert von über 398 Millionen rps.
AWS-Sicherheitswarnung :
CVE-2023-44487 - HTTP/2-Schnellreset-Angriff
Dieses Bild wurde präsentiert von Shutterstock/Illusmile