Détails d’une nouvelle forme de DDOS qui nécessite des ressources relativement minimes pour lancer une attaque d’une ampleur sans précédent, ce qui en fait un danger évident pour les sites web, alors que les sociétés de logiciels de serveurs s’empressent de publier des correctifs pour s’en prémunir.
Exploit de réinitialisation rapide HTTP/2
La vulnérabilité tire parti de la fonction HTTP/2 et HTTP/3 qui permettent des flux de données multiples en provenance et à destination d’un serveur et d’un navigateur.
Cela signifie que le navigateur peut demander plusieurs ressources à un serveur et les recevoir toutes en retour, plutôt que d’avoir à attendre que chaque ressource soit téléchargée une à la fois.
L’exploit annoncé publiquement par Cloudflare, Amazon Web Services (AWS) et Google s’appelle HTTP/2 Rapid Reset.
La grande majorité des serveurs web modernes utilisent le protocole réseau HTTP/2.
Comme il n’existe actuellement aucun correctif logiciel pour combler la faille de sécurité HTTP/2, cela signifie que pratiquement tous les serveurs sont vulnérables.
Un exploit qui est nouveau et qui n’a aucun moyen de l’atténuer est appelé un exploit « zero-day ».
La bonne nouvelle, c’est que les éditeurs de logiciels de serveurs travaillent à l’élaboration de correctifs destinés à combler la faiblesse du protocole HTTP/2.
Comment fonctionne la vulnérabilité de réinitialisation rapide HTTP/2
Le protocole réseau HTTP/2 dispose d’un paramètre serveur qui autorise un nombre défini de requêtes à tout moment.
Les demandes qui dépassent ce nombre sont refusées.
Une autre caractéristique du protocole HTTP/2 permet d’annuler une demande, ce qui supprime ce flux de données de la limite de demandes prédéfinie.
C’est une bonne chose car cela libère le serveur pour qu’il puisse se retourner et traiter un autre flux de données.
Cependant, les attaquants ont découvert qu’il était possible d’envoyer des millions (oui, des millions) de demandes et d’annulations à un serveur et de le submerger.
Quelle est la gravité de la réinitialisation rapide HTTP/2 ?
Le L’exploit HTTP/2 Rapid Reset est extraordinairement mauvais car les serveurs n’ont actuellement aucune défense contre cet exploit.
Cloudflare a indiqué qu’il avait bloqué une attaque DDOS 300 % plus importante que la plus grande attaque DDOS de l’histoire.
La plus grande attaque bloquée a dépassé les 201 millions de requêtes par seconde (RPS).
Google fait état d’une attaque DDOS qui a dépassé les 398 millions de RPS.
Mais ce n’est pas là toute l’étendue de la gravité de cet exploit.
Ce qui rend cet exploit encore plus grave, c’est qu’il faut une quantité relativement insignifiante de ressources pour lancer une attaque.
Pour lancer des attaques DDOS de cette ampleur, il faut normalement des centaines de milliers, voire des millions d’ordinateurs infectés (appelés « botnet »).
L’exploit HTTP/2 Rapid Reset ne nécessite que 20 000 ordinateurs infectés pour lancer des attaques trois fois plus importantes que les plus grandes attaques DDOS jamais enregistrées.
Cela signifie que la barre est beaucoup plus basse pour que les pirates puissent lancer des attaques DDOS dévastatrices.
Comment se protéger contre la réinitialisation rapide de HTTP/2 ?
Les éditeurs de logiciels de serveur travaillent actuellement à la publication de correctifs pour combler la faiblesse de l’exploit HTTP/2. Les clients de Cloudflare sont actuellement protégés et n’ont pas à s’inquiéter.
Cloudflare indique que dans le pire des cas, si un serveur est attaqué et sans défense, l’administrateur du serveur peut rétrograder le protocole réseau HTTP à HTTP/1.1.
La rétrogradation du protocole réseau empêchera les pirates de poursuivre leur attaque, mais les performances du serveur risquent de ralentir (ce qui est au moins mieux que d’être hors ligne).
Lire les bulletins de sécurité
Article du blog de Cloudflare :
La vulnérabilité HTTP/2 Zero-Day entraîne des attaques DDoS record
Alerte de sécurité de Google Cloud :
Google a atténué l’attaque DDoS la plus importante à ce jour, avec un pic à plus de 398 millions de rps.
Alerte de sécurité AWS :
CVE-2023-44487 – Attaque de réinitialisation rapide HTTP/2
Image présentée par Shutterstock/Illusmile