در اواخر ماه آگوست ۲۰۲۳ (شهریور ماه)، آسیبپذیری جدیدی در پروتکل HTTP/2 کشف شد که توسط مهاجمان برای انجام حملات DDoS با حجم بالا استفاده میشد. این آسیبپذیری که با شناسه CVE-2023-44487 و نام Rapid Reset شناخته میشود، باعث مصرف منابع و افزایش بار پردازشی سرورهای HTTP/2 شده و ممکن است سرویسدهی آنها را مختل کند. آسیبپذیری مذکور تا اوایل ماه اکتبر ۲۰۲۳(مهر ماه) در وضعیت روز صفر بوده و هنوز راهحل کاملی برای آن ارائه نشده است.
این آسیبپذیری که حمله DDoS را به دنبال دارد، به دلیل وجود یک نقص در پیادهسازی پروتکل HTTP/2، به وجود آمده است. مهاجم تعداد زیادی درخواست HTTP با استفاده از فریم HEADERS ارسال میکند سپس با استفاده از فریم RST_STREAM، اتصال را قطع میکند. این الگو را به صورت تکراری و با سرعت بالا اجرا کرده تا حجم زیادی از ترافیک را به سمت سرورهای HTTP/2 هدایت کند. با قرار دادن چندین فریم HEADERS و RST_STREAM در یک اتصال، مهاجم میتواند باعث افزایش تعداد قابل توجهی درخواست در ثانیه و استفاده بالای CPU در سرورها شود که در نهایت منجر به درگیر کردن منابع میگردد.
توصیههای امنیتی
با توجه به اینکه هدف حملات DDoS، عمدتاً لایه ۷ شبکه است، بسیاری از شرکتهای بزرگ فناوری اطلاعات، لایه ۷ خود را مورد حفاظت قرار داده و بهروزرسانیهای امنیتی منتشر کردهاند تا مشتریان خود را در برابر تأثیرات این حملات محافظت کنند. در حال حاضر، بهترین روش جهت جلوگیری از این حملات، استفاده از وصله های امنیتی موجود و تغییرات پیکربندی و سایر روشهای کاهش آسیب پذیری است که در ذیل به برخی از آن ها اشاره شده است:
- اطمینان حاصل کنید که ابزارها و سرویسهایی امنیتی، جهت محافظت، شناسایی و پاسخگویی به این حمله در سطح سرور و شبکه فعال باشند.
- توصیه میشود از سرویسهای محافظت از حملات DDoS (لایه 7) استفاده کرده و حدالامکان از WAF استفاده شود.
- توصیه میشود از سرویسهای محافظت از حملات DDoS برای DNS، ترافیک شبکه (لایه 3) و فایروال API استفاده گردد.
- اطمینان حاصل کنید که سرویسهای محافظت از حملات DDoS شما خارج از مرکز دادهتان قرار دارد زیرا اگر ترافیک به مرکز داده شما برسد، کاهش مخاطره این حملات دشوار خواهد بود.
- اطمینان حاصل کنید که وصلههای منتشر شده برای وبسرور و سیستمعامل در همه سرورها و بهروزرسانیها اعمال شود.
- به عنوان آخرین مورد، توصیه میشود جهت کاهش مخاطرات احتمالی، HTTP/2 و HTTP/3که در حال حاضر مورد استفاده بوده و احتمالاً آسیبپذیر است را به صورت موقت غیرفعال کنید. البته باید توجه داشت که اگر خواهان Downgrade نسخهها به HTTP/1 باشید ممکن است مشکلات عملکردی قابل توجهی را در پیش رو داشته باشید، لذا این مورد توصیه نمیشود.
- استفاده از یک cloud-based DDoS L7 منیز می تواند مفید واقع شود.
منابع خبر:
[1] https://blog.cloudflare.com/zero-day-rapid-reset-http2-record-breaking-ddos-attack/
[2]https://cloud.google.com/blog/products/identity-security/google-cloud-mitigated-largest-ddos-attack…
[3] https://aws.amazon.com/security/security-bulletins/AWS-2023-005/
[4] https://www.nginx.com/blog/http-2-rapid-reset-attack-impacting-f5-nginx-products/
[5] https://www.cisa.gov/news-events/alerts/2023/10/10/http2-rapid-reset-vulnerability-cve-2023-44487
[6]https://msrc.microsoft.com/blog/2023/10/microsoft-response-to-distributed-denial-of-service-ddos-at…
[7] https://nvd.nist.gov/vuln/detail/CVE-2023-44487
- 224