Details zu einer neuen Form von DDOS, die relativ wenig Ressourcen benötigt, um einen Angriff von beispiellosem Ausmaß zu starten, was sie zu einer klaren Gefahr für Websites macht, da Serversoftware-Unternehmen darum kämpfen, Patches zum Schutz davor zu veröffentlichen.
HTTP/2-Rapid-Reset-Exploit
Die Sicherheitslücke nutzt die Netzwerkprotokolle HTTP/2 und HTTP/3 aus, die mehrere Datenströme von und zu einem Server und einem Browser ermöglichen.
Das bedeutet, dass der Browser mehrere Ressourcen von einem Server anfordern und alle zurückgeben kann, anstatt darauf warten zu müssen, dass jede Ressource einzeln heruntergeladen wird.
Der von Cloudflare, Amazon Web Services (AWS) und Google öffentlich angekündigte Exploit heißt HTTP/2 Rapid Reset.
Die überwiegende Mehrheit moderner Webserver verwendet das HTTP/2-Netzwerkprotokoll.
Da es derzeit keinen Software-Patch zur Behebung der HTTP/2-Sicherheitslücke gibt, ist praktisch jeder Server angreifbar.
Ein Exploit, der neu ist und nicht entschärft werden kann, wird als Zero-Day-Exploit bezeichnet.
Die gute Nachricht ist, dass Serversoftwareunternehmen an der Entwicklung von Patches arbeiten, um die HTTP/2-Schwachstelle zu schließen.
So funktioniert die HTTP/2-Rapid-Reset-Sicherheitslücke
Das HTTP/2-Netzwerkprotokoll verfügt über eine Servereinstellung, die zu jedem Zeitpunkt eine festgelegte Anzahl von Anfragen zulässt.
Anfragen, die diese Anzahl überschreiten, werden abgelehnt.
Eine weitere Funktion des HTTP/2-Protokolls ermöglicht das Abbrechen einer Anfrage, wodurch dieser Datenstrom aus dem voreingestellten Anfragelimit entfernt wird.
Dies ist eine gute Sache, da der Server dadurch mehr Zeit hat, einen anderen Datenstrom zu verarbeiten.
Was die Angreifer jedoch herausgefunden haben, ist, dass es möglich ist, Millionen (ja, Millionen) von Anfragen und Stornierungen an einen Server zu senden und diesen zu überlasten.
Wie schlimm ist HTTP/2 Rapid Reset?
Der Der HTTP/2 Rapid Reset-Exploit ist außerordentlich schlimm weil Server derzeit keine Abwehr dagegen haben.
Cloudflare gab an, einen DDOS-Angriff blockiert zu haben, der 300 % größer war als der größte DDOS-Angriff aller Zeiten.
Die größte, die sie blockierten, überstieg 201 Millionen Anfragen pro Sekunde (RPS).
Google meldet einen DDOS-Angriff mit mehr als 398 Millionen RPS.
Aber das ist noch nicht das ganze Ausmaß, wie schlimm dieser Exploit ist.
Was diesen Exploit noch schlimmer macht, ist, dass es relativ wenig Ressourcen erfordert, um einen Angriff zu starten.
Für DDOS-Angriffe dieser Größenordnung sind normalerweise Hunderttausende bis Millionen infizierte Computer (ein sogenanntes Botnet) erforderlich, um Angriffe dieser Größenordnung zu starten.
Für den HTTP/2 Rapid Reset-Exploit sind nur 20.000 infizierte Computer erforderlich, um Angriffe zu starten, die dreimal so groß sind wie die größten jemals aufgezeichneten DDOS-Angriffe.
Das bedeutet, dass die Hürde für Hacker viel niedriger ist, verheerende DDOS-Angriffe zu starten.
Wie schützt man sich vor HTTP/2 Rapid Reset?
Hersteller von Serversoftware arbeiten derzeit an der Veröffentlichung von Patches, um die HTTP/2-Exploit-Schwachstelle zu schließen. Cloudflare-Kunden sind derzeit geschützt und müssen sich keine Sorgen machen.
Cloudflare weist darauf hin, dass der Serveradministrator im schlimmsten Fall, wenn ein Server angegriffen wird und wehrlos ist, das HTTP-Netzwerkprotokoll auf HTTP/1.1 herunterstufen kann.
Durch ein Downgrade des Netzwerkprotokolls können die Hacker ihren Angriff zwar nicht fortsetzen, aber die Serverleistung kann sich verlangsamen (was zumindest besser ist, als offline zu sein).
Lesen Sie die Sicherheitsbulletins
Cloudflare-Blogbeitrag:
HTTP/2-Zero-Day-Sicherheitslücke führt zu rekordverdächtigen DDoS-Angriffen
Google Cloud-Sicherheitswarnung:
Google wehrte den bisher größten DDoS-Angriff mit einem Spitzenwert von über 398 Millionen RP ab
AWS-Sicherheitswarnung:
CVE-2023-44487 – HTTP/2-Rapid-Reset-Angriff
Ausgewähltes Bild von Shutterstock/Illusmile