Lỗ hổng HTTP/2 Rapid Reset bị khai thác trong các cuộc tấn công DDoS kỷ lục

Amazon Web Services (AWS), Cloudflare và Google cho biết, họ đã thực hiện các bước để giảm thiểu các cuộc tấn công từ chối dịch vụ phân tán (DDoS) kỷ lục dựa trên một kỹ thuật mới có tên HTTP/2 Rapid Reset.

Các cuộc tấn công layer 7 được phát hiện từ cuối tháng 8/2023, mã theo dõi là CVE-2023-44487 và điểm CVSS 7,5/10.

Các cuộc tấn công nhắm vào cơ sở hạ tầng đám mây của Google đạt đỉnh điểm 398 triệu yêu cầu mỗi giây (RPS). Các cuộc tấn công nhắm vào AWS và Cloudflare lần lượt vượt quá 155 triệu và 201 triệu yêu cầu mỗi giây (RPS).

HTTP/2 Rapid Reset liên quan đến lỗ hổng zero-day trong giao thức HTTP/2, có thể bị khai thác để thực hiện các cuộc tấn công DDoS.

Một tính năng quan trọng của HTTP/2 là ghép các yêu cầu qua một kết nối TCP duy nhất, biểu hiện dưới dạng các stream đồng thời. Hơn nữa, khách hàng muốn hủy yêu cầu có thể đưa ra frame RST_STREAM để tạm dừng trao đổi dữ liệu. Cuộc tấn công Rapid Reset lợi dụng phương pháp này để gửi và hủy các yêu cầu liên tiếp, từ đó phá vỡ ngưỡng tối đa và làm quá tải máy chủ.

Nói cách khác, bằng cách khởi chạy hàng trăm nghìn stream HTTP/2 và nhanh chóng hủy chúng trên quy mô lớn trên một kết nối đã được thiết lập, hacker có thể làm sập các trang web. Một khía cạnh quan trọng khác là các cuộc tấn công như vậy có thể được thực hiện bằng cách sử dụng một mạng botnet có quy mô khiêm tốn, chỉ độ 20.000 máy, theo quan sát của Cloudflare.

Google Cloud cho biết họ đã phát hiện nhiều biến thể của cuộc tấn công Rapid Reset, mặc dù không hiệu quả như phiên bản ban đầu nhưng hiệu quả hơn các cuộc tấn công DDoS HTTP/2 thông thường.

Các chuyên gia cho biết: “Biến thể đầu tiên không hủy ngay lập tức các stream mà thay vào đó, mở một loạt stream cùng một lúc, đợi một thời gian rồi hủy các stream đó rồi ngay lập tức mở một loạt stream lớn mới khác”.

“Biến thể thứ hai loại bỏ hoàn toàn việc hủy stream mà thay vào đó cố gắng mở nhiều stream đồng thời hơn so với ngưỡng của máy chủ”.

F5, trong cảnh báo an ninh của mình, cho biết cuộc tấn công ảnh hưởng đến mô-đun NGINX HTTP/2 và kêu gọi khách hàng cập nhật cấu hình NGINX để giới hạn số lượng stream ở mức mặc định là 128 và duy trì kết nối HTTP tới 1000 request.

Các chuyên gia cho biết, sẽ có thêm nhiều hacker biết về lỗ hổng HTTP/2. Do đó, việc khai thác lỗ hổng và cuộc đua giữa người bảo vệ và kẻ tấn công chắc chắn là chuyện tất yếu. Các tổ chức nên kiểm tra hệ thống và thực hiện các biện pháp chủ động để đảm bảo an toàn.

Nguồn: The Hacker News