İnternetteki en büyük DDoS saldırısı, bilgisayar korsanlarının yeni bir sıfır gün güvenlik açığından yararlanmasının ardından gerçekleşti.
- Google, Cloudflare ve AWS, bilinmeyen saldırganların, dijital tarihin bugüne kadarki en büyük rekor DDoS saldırısını başlatmak için HTTP/2 Hızlı Sıfırlama adı verilen yeni bir sıfır gün güvenlik açığından yararlandığını doğruladı.
- Saldırı, Google’ın kaydettiği önceki en büyük DDoS saldırısından 7 kat daha yüksek olan 398 milyon RPS’ye ulaştı.
- AWS ve Cloudflare daha önce 200 milyon RPS’ye ulaşan DDoS saldırıları kaydetmişti.
- Sıfır gün kusuru, saldırganların hedef sunucuya özel olarak tasarlanmış HTTP/2 istekleri göndermesine olanak tanıyarak kapsamlı bir yanıtı tetikliyor; bu yanıt, savunmasız IoT cihazlarına veya yanlış yapılandırılmış sunuculara gönderilerek daha da güçlendiriliyor.
- Bu yeni teknik akış çoğullamasına dayanmaktadır.
- Bu durumda, tehdit aktörleri finansal varlıklar, oyun şirketleri ve devlet kurumları da dahil olmak üzere çeşitli hedeflere artırılmış trafik göndererek birçoğunda ciddi hasara neden oldu.
Dünyanın önde gelen teknoloji firmalarından üçü, Google, Amazon Web Services (AWS) ve Cloudflare, bugüne kadar kaydedilen en büyük Dağıtılmış Hizmet Reddi saldırısını (DDoS saldırısı) başlatmak için bilinmeyen tehdit aktörleri tarafından kullanılan yeni bir 0 günlük kusuru ortaklaşa açıkladılar .
HTTP/2 Hızlı Sıfırlama olarak adlandırılan güvenlik açığı, saldırganın hedef sunucuya özel olarak tasarlanmış HTTP/2 istekleri göndermesine ve büyük ölçekli bir yanıtı tetiklemesine olanak tanıyor. Aynı isteği istedikleri kadar savunmasız IoT cihazına ve yanlış yapılandırılmış sunuculara göndererek bu yanıtı daha da güçlendirebilirler. Güvenlik açığı CVE-2023-44487 olarak izleniyor ve Yüksek Önem derecesine sahip 10 üzerinden 7,5 CVSS puanına sahip.
HTTP/2 Rapid Reset’in kullanılmasından kaynaklanan şimdiye kadarki en büyük DDoS saldırısı, Google tarafından kaydedilen önceki en büyük saldırıdan yedi kat daha yüksek, saniyede 398 milyon istek (RPS) ile zirveye ulaştı.
Cloudflare ve AWS daha önce 200 milyon RPS’nin biraz üzerinde zirveye ulaşan DDoS saldırıları kaydetmişti. Cloudflare, Ağustos 2023’e kadar 10 milyon RPS’ye ulaşan 1.100’den fazla saldırıyı hafiflettiğini ve bunların 184’ünün şirketin daha önce bildirdiği 71 milyon RPS’lik DDoS rekorundan daha yüksek olduğunu iddia ediyor. Kaydedilen en yüksek DDoS saldırısının 46 milyon RPS ile zirveye çıktığı geçen yılla karşılaştırıldığında bunlar hala şaşırtıcı açıklamalar.
Finansal kurumlar, devlet kurumları ve oyun şirketleri dahil olmak üzere çok çeşitli hedefler belirlendi. Saldırı, bu hedeflerin çoğuna büyük hasar verdi, ancak çoğu, filtreleme, hız sınırlama ve diğer teknikler yoluyla bunları hafifletmeyi başardı.
Google, blog yazısında bunun “akış çoğullamasına dayanan hiper hacimsel yeni bir saldırı” olduğunu belirtti. Saldırı, HTTP2 protokolündeki bir zayıflıktan yararlanıyor; bu zayıflık, istemcilerin önceki bir akışın iptal edilmesi gereken sunucuyu bir RST_STREAM çerçevesi göndererek tanımlamasına olanak tanıyor. Bu iptal için protokolün istemci-sunucu koordinasyonunu gerektirmediğini, istemcinin bunu tek taraflı olarak gerçekleştirdiğini belirtmekte fayda var.
Saldırıya Hızlı Sıfırlama adı verilir çünkü bir istek çerçevesi gönderildikten hemen sonra bir uç noktadan RST_STREAM çerçevesi gönderildiğinde, diğer uç nokta çalışmaya başlar ve isteği hızla sıfırlar. İstek daha sonra iptal edilir ancak HTTP/2 bağlantısı açık kalır.
Bu endişe verici bir konudur çünkü HTTP/2 protokolü tüm web uygulamalarının yaklaşık %0’ında kritik bir unsurdur ve tarayıcı ile web sitesi arasındaki etkileşimi kolaylaştırır. Ziyaretçilerin web siteleriyle nasıl etkileşim kurduğunun kalitesini ve hızını belirlemekten sorumludur.
Böylesine kritik bir protokolün kullanılması, DDoS saldırısının hâlâ güçlü ve büyüyen bir tehdit olduğunu gösteriyor. Kuruluşlar, DDoS saldırılarıyla başa çıkmak için sistemlere derhal yama uygulamak, güvenlik mekanizmalarını yükseltmek, hız sınırlama ve filtreleme kullanmak veya en azından bir olay müdahale planına sahip olmak gibi gerekli adımları atmalıdır.
ALAKALI HABERLER
- Cloudflare, bildirilen en büyük HTTP DDoS saldırısını engelliyor
- 2023’ün En İyi 10 DDoS Saldırısından Koruma ve Azaltma Şirketi
- Minik Mantis Botnet, Mirai’den Daha Güçlü DDoS Saldırıları Başlatabilir