Cloudflare, Google ve Amazon AWS, HTTP/2 protokolündeki sıfır gün güvenlik açığının, HTTP/2 Hızlı Sıfırlama adını verdikleri devasa, yüksek hacimli DDoS saldırılarını gerçekleştirmek için kullanıldığını ortaya çıkardı.
HTTP/2 Hızlı Sıfırlamanın Kodunu Çözme (CVE-2023-44487)
Ağustos 2023’ün sonlarında Cloudflare, bilinmeyen bir tehdit aktörü tarafından geliştirilen bir sıfır gün güvenlik açığını keşfetti. Güvenlik açığı, İnternet’in ve çoğu web sitesinin işleyişinin temel bir parçası olan standart HTTP/2 protokolünü kullanıyor. HTTP/2, tarayıcıların bir web sitesiyle nasıl etkileşim kurduğundan sorumludur ve web sitesi ne kadar karmaşık olursa olsun, görseller ve metin gibi şeyleri tek seferde hızlı bir şekilde görüntüleme “talep etmelerine” olanak tanır.
Bu yeni saldırı, yüzbinlerce “istek” yapıp bunları anında iptal ederek çalışıyor. Bu “istek, iptal, istek, iptal” modelini geniş ölçekte otomatikleştirerek, tehdit aktörleri web sitelerini baskı altına alabilir ve çevrimdışı olarak HTTP/2 kullanan her şeyi çökertebilir.
“Hızlı Sıfırlama”, tehdit aktörlerine İnternet üzerindeki kurbanlara, İnternet’in daha önce gördüğü her şeyden daha büyük bir ölçekte saldırmak için güçlü ve yeni bir yol sağlar. HTTP/2, tüm web uygulamalarının yaklaşık %60’ının temelini oluşturur ve kullanıcıların web sitelerini nasıl gördüğü ve onlarla nasıl etkileşim kurduğunun hızını ve kalitesini belirler.
Cloudflare’in verilerine göre, Hızlı Sıfırlama’dan yararlanan çeşitli saldırılar, İnternet tarihindeki en büyük DDoS saldırısından neredeyse üç kat daha büyüktü. Bu DDoS kampanyasının zirvesinde Cloudflare, saniyede 201 milyondan fazla isteği kaydedip yönetti ve binlerce ek saldırıyı azalttı.
Saldırıyı engellemek
Rekor kıran saldırı yöntemlerine sahip tehdit aktörleri, saldırıları absorbe edecek altyapının bulunmaması nedeniyle bunların etkinliğini test etmekte ve anlamakta zorluk çekmektedir. Bu nedenle, saldırılarının nasıl performans göstereceğini daha iyi anlamak için sıklıkla sağlayıcılara karşı test yaparlar.
Cloudflare CSO’su Grant Bourzikas, “Hızlı Sıfırlama gibi güvenlik açıklarından yararlanan büyük ölçekli saldırılar karmaşık ve hafifletilmesi zor olsa da, bize geliştirme aşamasındaki yeni tehdit aktörü tekniklerine dair benzeri görülmemiş bir görünürlük sağlıyor” dedi.
“‘Mükemmel açıklama’ diye bir şey olmasa da, kesintiler ve yol boyunca yaşanan aksaklıklar nedeniyle, saldırıları engellemek ve son dakika olaylarına yanıt vermek, kuruluşların ve güvenlik ekiplerinin Cloudflare ekibinin desteklediği ‘ihlali varsayma’ zihniyetiyle yaşamasını gerektirir. Sonuçta bu, İnternet’i güvenli hale getirmeye yardımcı olan gururlu bir ortak olmamızı sağlıyor.”
“Bu DDoS saldırısı ve güvenlik açığı başlı başına bir ligde olsa da her zaman başka sıfır gün, gelişen tehdit aktörü taktikleri ve yeni yeni saldırılar ve teknikler olacaktır; bunlara sürekli hazırlık ve yanıt vermek misyonumuzun temelini oluşturur. Cloudflare CEO’su Matthew Prince, “Daha iyi bir İnternet oluşturmaya yardımcı olun” dedi.
Daha fazla ayrıntı içeren teknik bir blog yazısına buradan ulaşabilirsiniz.
Cloudflare mühendisleri, HTTP/2 hizmetlerine sahip tüm sağlayıcıların bu soruna maruz kalma durumlarını değerlendirmesi gerektiğini söylüyor.
“Yaygın web sunucuları ve programlama dilleri için yazılım yamaları ve güncellemeleri şimdi veya yakın gelecekte uygulanmaya hazır olabilir. Bu düzeltmeleri mümkün olan en kısa sürede uygulamanızı öneririz. Müşterilerimiz için yazılıma yama uygulamanızı ve Google’ı ve mevcut Google Cloud Uygulama Yük Dengeleme kullanıcılarını koruyan Application Load Balancer ile Google Cloud Armor’u etkinleştirmenizi öneriyoruz” diye eklediler.