En kritisk sårbarhet har upptäckts i HTTP/2-protokollet, som används brett på internet. Angripare har hittat ett sätt att använda en funktion i HTTP/2 för att betydligt öka storleken på överbelastningsangrepp. Detta kan komma att påverka åtkomsten till många produkter, både företagslösningar och konsumentorienterade produkter och tjänster [1].
Sårbarheten (CVE-2023-44487), som även går under namnet Rapid Reset, började utnyttjas i augusti i år. Den utnyttjas genom att skicka en förfrågan som genast dras tillbaka (en funktion som ingår i HTTP/2), vilket gör att angriparen kan kringgå väntan på svar. Detta medför ett mer effektivt och omfattande överlastningsangrepp.
Flera av de stora molnleverantörerna har publicerat information om hur man hanterar sårbarheten i sina respektive molnmiljöer [2, 3, 4, 5, 6, 7, 8, 9].
Leverantörerna rapporterar att omfattningen av Rapid Reset-angreppen har varit ”signifikant större” jämfört med tidigare rapporterade Layer 7-angrepp. Bland de större angreppen fanns ett fall som innehöll fler än 398 miljoner anrop per sekund.
Påverkade produkter
Molntjänster överlag - se källistan för kommunikation från respektive leverantör.
Rekommendationer
CERT-SE rekommenderar att snarast möjligt installera relevanta säkerhetsuppdateringar samt följa de rekommendationer som publiceras av era respektive internet- och molnleverantörer.
Källor
[1] https://www.cisa.gov/news-events/alerts/2023/10/10/http2-rapid-reset-vulnerability-cve-2023-44487
[2] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-44487
[3] https://msrc.microsoft.com/blog/2023/10/microsoft-response-to-distributed-denial-of-service-ddos-attacks-against-http/2/
[4] https://aws.amazon.com/blogs/security/how-aws-protects-customers-from-ddos-events/
[5] https://aws.amazon.com/security/security-bulletins/AWS-2023-011/
[6] https://www.cloudflare.com/press-releases/2023/cloudflare-helps-discover-new-online-threat-that-led-to-largest-attack-in/
[7] https://blog.cloudflare.com/technical-breakdown-http2-rapid-reset-ddos-attack/
[8] https://cloud.google.com/blog/products/identity-security/how-it-works-the-novel-http2-rapid-reset-ddos-attack
[9] https://www.nginx.com/blog/http-2-rapid-reset-attack-impacting-f5-nginx-products/