Специалисты из компаний Amazon Web Services (AWS), Cloudflare и Google обнаружили новую уязвимость в протоколе HTTP/2, которую злоумышленники активно используют для DDoS-атак с августа текущего года. Эта уязвимость, известная как HTTP/2 Rapid Reset, позволяет злоумышленникам устраивать атаки, при которых мощность запросов достигает огромных значений. Например, атаки на инфраструктуру Google достигли 398 миллионов запросов в секунду, а на AWS и Cloudflare были зарегистрированы атаки с 155 миллионами и 201 миллионом запросов в секунду соответственно.
Для сравнения, предыдущий рекорд составлял 71 миллион запросов в секунду и был зафиксирован в начале 2023 года.
Эта новая проблема имеет корни в уязвимости нулевого дня с кодовым именем CVE-2023-44487, которую специалистам пришлось держать в секрете более месяца, чтобы дать времени поставщикам защитных решений и другим заинтересованным сторонам подготовиться перед тем, как злоумышленники узнают об этой уязвимости.
Уязвимость была обнаружена в протоколе HTTP/2, который используется для организации мощных DDoS-атак. HTTP/2 имеет функцию мультиплексирования запросов в одном TCP-соединении, позволяя одновременно обрабатывать множество запросов. Хотя в протоколе HTTP/2 предусмотрена защита в виде ограничения количества одновременно активных потоков, она не всегда эффективна. Злоумышленники используют отмену запроса с помощью фрейма RST_STREAM, чтобы быстро отправлять и отменять запросы, обходя установленные сервером ограничения для одновременных потоков.
Злоумышленники создают атаки, называемые HTTP/2 Rapid Reset, путем отправки серии запросов на несколько потоков, после чего каждый запрос отменяется. Это приводит к тому, что целевая система анализирует и выполняет каждый запрос, что вызывает нагрузку, а затем запросы отменяются, что приводит к заметным проблемам с производительностью.
Эта уязвимость в особенности опасна для прокси-серверов и балансировщиков нагрузки HTTP/2. Компания Cloudflare сообщила, что их сеть перегружена на участке между TLS-прокси и апстримом, что привело к увеличению ошибок 502 для их клиентов. Однако они разработали систему с именем IP Jail, которая помещает IP-адреса злоумышленников в "тюрьму" и запрещает им использовать HTTP/2 для определенных доменов Cloudflare в течение определенного времени. Это позволяет снизить негативное воздействие на реальных пользователей.
Amazon также заявил, что отразил десятки подобных атак, но не предоставил подробности об инцидентах. Google увеличил дополнительную пропускную способность на границе своей сети, чтобы смягчить атаки.
Общий вывод от специалистов заключается в том, что наилучшим способом защиты от атак HTTP/2 Rapid Reset является использование всех доступных методов защиты от HTTP-флуда и повышение устойчивости к DDoS-атакам через многогранные меры защиты. Важно отметить, что поскольку атаки базируются на протоколе HTTP/2, не существует универсального решения для полного блокирования этого вида DDoS-атак.
Утилита для проверки на уязвимость к атаке HTTP/2 Rapid Reset: https://github.com/bcdannyboy/CVE-2023-44487
