Cloudflare, Google und AWS gaben am Dienstag bekannt, dass eine neue Zero-Day-Schwachstelle namens „HTTP/2 Rapid Reset“ von böswilligen Akteuren ausgenutzt wurde, um die größten Distributed-Denial-of-Service-Angriffe (DDoS) in der Geschichte des Internets zu starten.
Cloudflare begann Ende August mit der Analyse der Angriffsmethode und der zugrunde liegenden Schwachstelle. Das Unternehmen gibt an, dass ein unbekannter Bedrohungsakteur eine Schwachstelle im weit verbreiteten HTTP/2-Protokoll ausgenutzt hat, um „enorme, hypervolumetrische“ DDoS-Angriffe zu starten.
Einer der von Cloudflare beobachteten Angriffe war dreimal so groß wie der rekordverdächtige Angriff mit 71 Millionen Anfragen pro Sekunde (RPS), den das Unternehmen im Februar gemeldet hatte. Konkret erreichte die DDoS-Kampagne HTTP/2 Rapid Reset einen Höchstwert von 201 Millionen RPS.
Im Fall von Google beobachtete das Unternehmen einen DDoS-Angriff, der mit 398 Millionen RPS seinen Höhepunkt erreichte, mehr als das Siebenfache des größten Angriffs, den der Internetriese zuvor erlebt hatte.
Amazon erlebte innerhalb von zwei Tagen Ende August über ein Dutzend HTTP/2-Rapid-Reset-Angriffe, wobei der größte mit 155 Millionen RPS seinen Höhepunkt erreichte.
Die neue Angriffsmethode missbraucht eine HTTP/2-Funktion namens „Stream Cancellation“, indem sie wiederholt eine Anfrage sendet und diese sofort abbricht.
„Durch die Automatisierung dieses trivialen ‚Anfordern, Abbrechen, Anfordern, Abbrechen‘-Musters in großem Maßstab können Bedrohungsakteure einen Denial-of-Service erzeugen und jeden Server oder jede Anwendung lahmlegen, auf der die Standardimplementierung von HTTP/2 ausgeführt wird“, erklärte Cloudflare.
Das Unternehmen stellte fest, dass der rekordverdächtige Angriff auf seine Kunden ein Botnetz von nur 20.000 kompromittierten Geräten nutzte. Das Web-Sicherheitsunternehmen sieht regelmäßig Angriffe durch Botnetze, die von Hunderttausenden oder sogar Millionen von Maschinen betrieben werden.
Die zugrunde liegende Sicherheitslücke, von der angenommen wird, dass sie jeden Webserver betrifft, der HTTP/2 implementiert, wird als CVE-2023-44487 verfolgt und mit einem CVSS-Score von 7,5 als „hoher Schweregrad“ eingestuft.
Cloudflare und Google haben Blogbeiträge mit technischen Details zum HTTP/2-Rapid-Reset-Angriff veröffentlicht. AWS hat außerdem einen Blogbeitrag veröffentlicht, in dem die beobachteten HTTP/2-Rapid-Reset-Angriffe beschrieben werden.
Die Unternehmen gaben an, dass ihr bestehender DDoS-Schutz weitgehend in der Lage sei, HTTP/2 Rapid Reset zu bewältigen, sie hätten jedoch zusätzliche Abhilfemaßnahmen für diese Angriffsmethode implementiert. Webserver-Softwareunternehmen wurden gewarnt und haben mit der Entwicklung von Patches begonnen, die die Ausnutzung der Sicherheitslücke verhindern sollen.
„Jedes Unternehmen oder jede Einzelperson, die eine HTTP-basierte Arbeitslast im Internet bereitstellt, kann von diesem Angriff gefährdet sein“, warnte Google. „Webanwendungen, Dienste und APIs auf einem Server oder Proxy, der über das HTTP/2-Protokoll kommunizieren kann, könnten anfällig sein. Unternehmen sollten sicherstellen, dass alle von ihnen betriebenen Server, die HTTP/2 unterstützen, nicht anfällig sind, oder Hersteller-Patches für CVE-2023-44487 anwenden, um die Auswirkungen dieses Angriffsvektors zu begrenzen.“
Verwandt: Kanadische Regierung im Visier der Pro-Russia-Gruppe mit DDoS-Angriffen
Verwandt: Nach Microsoft und X starten Hacker einen DDoS-Angriff auf Telegram
Verwandt: CISA veröffentlicht Leitlinien zur Einführung von DDoS-Abwehrmaßnahmen
