10月10日、Cloudflare、Google、AWSは、"HTTP/2 Rapid Reset "として知られる新しいゼロデイ脆弱性攻撃を公開した。この攻撃は、HTTP/2プロトコルの弱点を悪用し、最大で毎秒4億リクエスト(rps)という膨大な分散型サービス拒否(DDoS)攻撃を発生させる。
CVE-2023-44487の脆弱性は、HTTP/2が単一のHTTPセッション上で複数の異なる論理コネクションを多重化できることを利用しており、ラピッドリセット攻撃は、リクエストとリセットを連続して行う複数のHTTP/2コネクションで構成される。Googleのスタッフ・ソフトウェア・エンジニアであるJuho Snellman氏と、Googleのスタッフ・サイト信頼性エンジニアであるDaniele Iamartino氏が次のように説明する。
この攻撃は、リクエストフレームを送信した直後にエンドポイントがRST_STREAMフレームを送信する能力に依存しているため、ラピッドリセットと呼ばれています。これにより、他のエンドポイントが動作を開始し、リクエストが急速にリセットされます。リクエストはキャンセルされるが、HTTP/2接続はオープンなままとなります。
出典グーグルブログ
発表によると、Cloudflareは過去2ヶ月間に1000万rpsを超える1100件以上のDDoS攻撃とこれまでのDDoSの記録である7,100万rpsを超える184件の攻撃を緩和しなければならなかった。他のプロバイダーも同様の課題を経験しており、Googleはピーク時の3億9800万rpsを超える攻撃を緩和した。CloudflareのCISOであるGrant Bourzikas氏はこう書いている。
この些細な "リクエスト、キャンセル、リクエスト、キャンセル "のパターンを大規模に自動化することで、攻撃者はHTTP/2の標準的な実装を実行しているあらゆるサーバーやアプリケーションにサービス拒否を発生させ、ダウンできます。さらに、この記録的な攻撃について注意すべき重要な点は、およそ20,000台のマシンで構成される適度な規模のボットネットが関与しているということです。
HTTP/2の主な目標は効率性だったが、HTTP/2をより効率的にする機能は、DDoS攻撃の効率性向上にも利用できる。アカマイのウェブプロトコルおよびパフォーマンスの専門家である Robin Marx氏は、この脆弱性がHTTP/3 に影響を与えない理由を説明し、Bloom Cyber Defenseのセキュリティ研究者であるDaniel Bloom氏は、ウェブサーバーが CVE-2023-44487 の脆弱性を受けているかどうかをチェックするための非侵襲的脆弱性スキャンツールをリリースした。
AWSの副社長兼著名エンジニアであるTom Scholl氏と、Amazonのセキュリティ・ディレクターであるMark Ryland氏は警告する。
HTTP/2ラピッドリセット攻撃は、新しいタイプのHTTPリクエストフラッドに過ぎないことを肝に銘じてほしいです。この種のDDoS攻撃を防御するには、不要なリクエストを具体的に検出し、悪意のあるHTTPリクエストを吸収してブロックするための拡張するのに役立つするアーキテクチャを実装できます。
Cloudインフラストラクチャは、レイヤー7のリクエストフラッドに対処するためのさまざまな保護機能を備えて設計されているが、Cloudflare、Google、AWSは、HTTP/2をサポートするCDNとWAFに追加の緩和策を実装している。また、独自のHTTP/2ウェブサーバーを運用している顧客は、影響を受けるかどうかをベンダーに確認することを推奨している。例えば、F5はNGINX HTTP/2モジュール用のパッチをリリースし、システムの安定性を高め、1つのイベントループ内で導入できる新しいストリームの数に制限を課している。
AWSは、AWS上で動作するアプリケーションのDDoS攻撃の影響を軽減するためのホワイトペーパー「AWS Best Practices for DDoS Resiliency」を提供している。