جزئیات شکل جدیدی از DDOS که به منابع نسبتاً حداقلی نیاز دارد تا حمله ای در مقیاس بی سابقه ای انجام شود، و آن را به یک خطر آشکار برای وب سایت ها تبدیل می کند زیرا شرکت های نرم افزار سرور برای انتشار وصله ها برای محافظت در برابر آن رقابت می کنند.
HTTP/2 Rapid Reset Exploit
این آسیبپذیری از پروتکلهای شبکه HTTP/2 و HTTP/3 بهره میبرد که امکان جریانهای چندگانه داده به و از سرور و مرورگر را میدهد.
این بدان معناست که مرورگر میتواند چندین منبع را از یک سرور درخواست کند و همه آنها را برگرداند، نه اینکه منتظر بماند تا هر منبع یکی یکی دانلود شود.
اکسپلویتی که توسط Cloudflare، Amazon Web Services (AWS) و گوگل به صورت عمومی اعلام شد، HTTP/2 Rapid Reset نام دارد.
اکثریت قریب به اتفاق وب سرورهای مدرن از پروتکل شبکه HTTP/2 استفاده می کنند.
از آنجایی که در حال حاضر هیچ وصله نرم افزاری برای رفع حفره امنیتی HTTP/2 وجود ندارد، به این معنی است که تقریباً هر سروری آسیب پذیر است.
اکسپلویتی که جدید است و راهی برای کاهش آن ندارد، اکسپلویت روز صفر نامیده می شود.
خبر خوب این است که شرکتهای نرمافزار سرور در حال توسعه وصلههایی هستند تا ضعف HTTP/2 را ببندند.
آسیبپذیری HTTP/2 Rapid Reset چگونه کار میکند
پروتکل شبکه HTTP/2 دارای یک تنظیمات سرور است که تعداد مجموعه ای از درخواست ها را در هر زمان مشخص می کند.
درخواست هایی که بیش از این تعداد باشد رد می شود.
یکی دیگر از ویژگی های پروتکل HTTP/2 امکان لغو درخواست را فراهم می کند، که این جریان داده را از محدودیت درخواست از پیش تعیین شده حذف می کند.
این یک چیز خوب است زیرا سرور را آزاد می کند تا بچرخد و جریان داده دیگری را پردازش کند.
با این حال، آنچه مهاجمان کشف کردند این بود که میتوان میلیونها (بله، میلیونها) درخواست و لغو را به یک سرور ارسال کرد و آن را غرق کرد.
بازنشانی سریع HTTP/2 چقدر بد است؟
را بهره برداری بازنشانی سریع HTTP/2 فوق العاده بد است زیرا سرورها در حال حاضر هیچ دفاعی در برابر آن ندارند.
Cloudflare اشاره کرد که یک حمله DDOS را که 300٪ بزرگتر از بزرگترین حمله DDOS در تاریخ بود، مسدود کرده است.
بزرگترین درخواستی که آنها مسدود کردند بیش از 201 میلیون درخواست در ثانیه (RPS) بود.
گوگل یک حمله DDOS را گزارش می کند که بیش از 398 میلیون RPS است.
اما این تمام میزان بدی این سوءاستفاده نیست.
چیزی که این اکسپلویت را بدتر می کند این است که برای شروع یک حمله به منابع نسبتاً ناچیزی نیاز است.
حملات DDOS با این اندازه معمولاً به صدها هزار تا میلیون ها رایانه آلوده (به نام بات نت) نیاز دارند تا حملاتی در این مقیاس انجام دهند.
بهره برداری بازنشانی سریع HTTP/2 به 20000 رایانه آلوده نیاز دارد تا حملاتی را انجام دهند که سه برابر بزرگتر از بزرگترین حملات DDOS ثبت شده است.
این بدان معناست که این نوار برای هکرها برای به دست آوردن توانایی انجام حملات ویرانگر DDOS بسیار پایین تر است.
چگونه در برابر بازنشانی سریع HTTP/2 محافظت کنیم؟
ناشران نرمافزار سرور در حال حاضر مشغول انتشار وصلههایی برای بستن ضعف بهرهبرداری HTTP/2 هستند. مشتریان Cloudflare در حال حاضر محافظت شده اند و نگران نباشند.
Cloudflare توصیه می کند که در بدترین حالت، اگر سروری تحت حمله و بی دفاع باشد، مدیر سرور می تواند پروتکل شبکه HTTP را به HTTP/1.1 تنزل دهد.
تنزل دادن پروتکل شبکه باعث می شود هکرها نتوانند به حمله خود ادامه دهند اما عملکرد سرور ممکن است کند شود (که حداقل بهتر از آفلاین بودن است).
بولتن های امنیتی را بخوانید
پست وبلاگ Cloudflare:
نتایج آسیبپذیری HTTP/2 Zero-Day در حملات DDoS رکوردشکنی
هشدار امنیتی Google Cloud:
گوگل بزرگترین حمله DDoS تا به امروز را کاهش داد که به بیش از 398 میلیون rps رسید
هشدار امنیتی AWS:
CVE-2023-44487 – حمله بازنشانی سریع HTTP/2
تصویر ویژه توسط Shutterstock/Illusmile