iThome
接下來我們選出的第4名漏洞也相當特別,因為此漏洞並非存在特定的應用系統,而是在通訊協定上,這項漏洞就是HTTP/2協定的高風險漏洞CVE-2023-44487,CVSS風險評分為7.5。
從iThome相關報導的數量來看並不多,僅有去年10月雲端服務業者共同揭露因該漏洞遭遇DDoS攻擊的消息,但在DDoS攻擊的資安事故而言,這樣的情況很罕見。
針對通訊協定的零時差漏洞攻擊
首先,這類攻擊行動的揭露,通常範圍是局限於其中一家業者處理的事故,而且他們多半會特別強調流量的規模,就算是提及攻擊手法,也往往與駭客用於產生流量的設備有關。
此次卻是由AWS、Cloudflare、Google這三大雲端服務業者聯手公布,並將他們遭遇攻擊的原因,指向上述的通訊協定漏洞,並為利用該漏洞的攻擊手法命名為「HTTP/2 Rapid Reset」。
關於這次攻擊手法,對方主要是濫用HTTP/2通訊協定的特定功能。
此功能目前被大家稱為「串流取消(Stream Cancellation)」,或是稱為「多工串流(Stream Multiplexing)」。
駭客不斷發送請求並隨即予以取消,從而導致採用HTTP/2通訊協定的網頁伺服器或是應用程式服務遭到癱瘓。
研究人員指出,本次駭客發動攻擊的成本,較過往傳統的DDoS攻擊相對低廉許多。
對方利用這項漏洞發動的巨大流量DDoS攻擊,所運用的殭屍網路規模僅約2萬臺電腦,遠低於其他攻擊行動。過往的巨量DDoS攻擊,常會動用到數十萬、數百萬臺電腦。
由於HTTP通訊協定是全球網路資料通訊的基礎,最新版是2022年6月頒布的HTTP/3。但根據Cloudflare去年4月的統計,2015年推出的HTTP/2採用率超過60%,是目前最普及的HTTP協定版本,HTTP/3則接近30%。
對此,許多採用HTTP/2的服務或產品,開發商都已著手修補。
例如,微軟公布了針對該漏洞的應對措施,指出這波的DDoS攻擊主要鎖定網路第7層(L7),而非L3或L4,因此,該公司強化對於L7的保護,同時也修補所有受到影響的服務。
Google針對HTTP/2 Rapid Reset通訊協定漏洞提出說明,並列出一份比較圖表指出問題成因。相較於一般的DDoS攻擊,利用該漏洞,攻擊者發出大量請求並隨即取消,從而突破用戶端原先必須等待伺服器回應的限制。(圖片來源/Google)
三家大型雲端業者公布受害的規模
究竟這樣的漏洞,引發了什麼程度的攻擊呢?
AWS指出,他們從8月28日至29日,發現CDN服務CloudFront出現不尋常的流量,並達到每秒發出1.55億次請求(RPS)的高峰,光是在這兩天,他們就緩解十多次HTTP/2 Rapid Reset攻擊事件。
接著,該公司也在整個9月,看到這類攻擊手法不斷出現。
另一家雲端服務業者Cloudflare,則是從8月25日開始,觀察到部分客戶遭遇HTTP/2 Rapid Reset攻擊,其高峰達到每秒2.01億次請求。
這樣的情況,遠超過2023年2月他們公布的DDoS事故,當時該公司攔截每秒7,100萬次請求,僅約為這次事故的三分之一。
從8月底到10月上旬,該公司共緩解1,100起每秒1千萬次請求的事故,其中有184起超越2月公布的規模。
第三家公布此事的Google Cloud則表示,他們在8月遭遇每秒3.98億次請求的DDoS攻擊行動,相較於2022年8月公布每秒4,600萬次請求,一年後的事故規模爆增至7.5倍。
究竟這樣的天文數字,代表的又是什麼樣的規模?
該公司指出,他們遭遇HTTP/2 Rapid Reset攻擊的時間約為2分鐘,所有收到的請求數量,比2023年9月所有存取維基百科的請求次數還要多。
值得留意的是,雖然上述業者皆緩解提及的DDoS攻擊,但Cloudflare指出,由於這波攻擊結合殭屍網路與HTTP/2漏洞,導致攻擊請求以前所未有的速度放大,他們的網路系統面臨間歇性的不穩定,部分元件過載,波及少數客戶的效能。
熱門新聞
2024-11-18
2024-11-20
2024-11-15
2024-11-15
2024-11-12
2024-11-19
2024-11-14