iThome
接下来我们选出的第4名漏洞也相当特别,因为此漏洞并非存在特定的应用系统,而是在通讯协定上,这项漏洞就是HTTP/2协定的高风险漏洞CVE-2023-44487,CVSS风险评分为7.5。
从iThome相关报导的数量来看并不多,仅有去年10月云端服务业者共同揭露因该漏洞遭遇DDoS攻击的消息,但在DDoS攻击的资安事故而言,这样的情况很罕见。
针对通讯协定的零时差漏洞攻击
首先,这类攻击行动的揭露,通常范围是局限于其中一家业者处理的事故,而且他们多半会特别强调流量的规模,就算是提及攻击手法,也往往与骇客用于产生流量的设备有关。
此次却是由AWS、Cloudflare、Google这三大云端服务业者联手公布,并将他们遭遇攻击的原因,指向上述的通讯协定漏洞,并为利用该漏洞的攻击手法命名为「HTTP/2 Rapid Reset」。
关于这次攻击手法,对方主要是滥用HTTP/2通讯协定的特定功能。
此功能目前被大家称为「串流取消(Stream Cancellation)」,或是称为「多工串流(Stream Multiplexing)」。
骇客不断发送请求并随即予以取消,从而导致采用HTTP/2通讯协定的网页伺服器或是应用程式服务遭到瘫痪。
研究人员指出,本次骇客发动攻击的成本,较过往传统的DDoS攻击相对低廉许多。
对方利用这项漏洞发动的巨大流量DDoS攻击,所运用的僵尸网路规模仅约2万台电脑,远低于其他攻击行动。过往的巨量DDoS攻击,常会动用到数十万、数百万台电脑。
由于HTTP通讯协定是全球网路资料通讯的基础,最新版是2022年6月颁布的HTTP/3。但根据Cloudflare去年4月的统计,2015年推出的HTTP/2采用率超过60%,是目前最普及的HTTP协定版本,HTTP/3则接近30%。
对此,许多采用HTTP/2的服务或产品,开发商都已著手修补。
例如,微软公布了针对该漏洞的应对措施,指出这波的DDoS攻击主要锁定网路第7层(L7),而非L3或L4,因此,该公司强化对于L7的保护,同时也修补所有受到影响的服务。
Google针对HTTP/2 Rapid Reset通讯协定漏洞提出说明,并列出一份比较图表指出问题成因。相较于一般的DDoS攻击,利用该漏洞,攻击者发出大量请求并随即取消,从而突破用户端原先必须等待伺服器回应的限制。(图片来源/Google)
三家大型云端业者公布受害的规模
究竟这样的漏洞,引发了什么程度的攻击呢?
AWS指出,他们从8月28日至29日,发现CDN服务CloudFront出现不寻常的流量,并达到每秒发出1.55亿次请求(RPS)的高峰,光是在这两天,他们就缓解十多次HTTP/2 Rapid Reset攻击事件。
接著,该公司也在整个9月,看到这类攻击手法不断出现。
另一家云端服务业者Cloudflare,则是从8月25日开始,观察到部分客户遭遇HTTP/2 Rapid Reset攻击,其高峰达到每秒2.01亿次请求。
这样的情况,远超过2023年2月他们公布的DDoS事故,当时该公司拦截每秒7,100万次请求,仅约为这次事故的三分之一。
从8月底到10月上旬,该公司共缓解1,100起每秒1千万次请求的事故,其中有184起超越2月公布的规模。
第三家公布此事的Google Cloud则表示,他们在8月遭遇每秒3.98亿次请求的DDoS攻击行动,相较于2022年8月公布每秒4,600万次请求,一年后的事故规模爆增至7.5倍。
究竟这样的天文数字,代表的又是什么样的规模?
该公司指出,他们遭遇HTTP/2 Rapid Reset攻击的时间约为2分钟,所有收到的请求数量,比2023年9月所有存取维基百科的请求次数还要多。
值得留意的是,虽然上述业者皆缓解提及的DDoS攻击,但Cloudflare指出,由于这波攻击结合僵尸网路与HTTP/2漏洞,导致攻击请求以前所未有的速度放大,他们的网路系统面临间歇性的不稳定,部分元件过载,波及少数客户的效能。