Web sunucusu satıcıları, Google’ın Ağustos 2023’ten bu yana gözlemlediği yüksek kapasiteli DDoS saldırılarına olanak sağladığını söylediği bir HTTP2 protokolü güvenlik açığına yanıt vermekle meşgul.
CVE-2023-44487 olarak etiketlenen Google ve diğerlerinin bulduğu şey, HTTP2’nin bir TCP oturumunda birden fazla akışı destekleme yeteneğinin “Hızlı Sıfırlama” saldırısı olarak adlandırılan saldırıya karşı savunmasız olmasıdır.
Bir blog yazısında Google, gözlemlediği bir Hızlı Sıfırlama saldırısının saniyede 398 milyon isteklik bir trafik zirvesi oluşturduğunu söyledi.
Google, altyapısının saldırıya dayanabileceğini söylese de saldırı mekanizmalarını ve hafifletici önlemleri anlamak için “koordineli bir çabaya” ihtiyaç vardı.
Google, teknik bir blog yazısında Hızlı Sıfırlama sorununu ayrıntılı olarak anlattı.
Kısaca: Saldırganın istemcisi, sunucuya TCP oturumu başına çok sayıda akış açar ve bu istekleri anında iptal eder, bu da sunucuda kaynak tükenmesine neden olabilir.
“Akışları anında sıfırlama yeteneği, her bağlantının yayında sınırsız sayıda istek almasına olanak tanıyor. Gönderide, saldırganın istekleri açıkça iptal ederek eşzamanlı açık akış sayısı sınırını asla aşmadığı belirtiliyor.
“Tipik bir HTTP/2 sunucusu uygulamasında, sunucunun iptal edilen istekler için yeni akış veri yapılarını tahsis etmek, sorguyu ayrıştırmak ve başlık sıkıştırmasını açmak ve URL’yi bir kaynakla eşlemek gibi önemli miktarda iş yapması gerekecek.”
Aynı zamanda, saldıran istemcinin daha az kapasiteye ihtiyacı vardır: “Bir yanıt yazılmadan önce isteklerin iptal edilmesi, aşağı bağlantı (sunucu/proxy’den saldırgana) bant genişliğini azaltır.”
Cloudflare ayrıca Rapid’i de yazdı Sıfırla, “saldırganın yalnızca 20.000 makineden oluşan bir botnet ile böyle bir saldırı gerçekleştirebilmesiyle ilgili” olduğunu ekledi.
Endüstri tepkisi
Etkilenen çok sayıda üründe halihazırda düzeltmeler yayınlanmıştır (tam liste, güvenlik açığının CVE girişinde bulunmaktadır).
Halihazırda yama uygulanmış ürünler arasında Eclipse’in Jetty projesi; Süratli; NGHTTP2 kütüphanesi; Alibaba’nın Tengine’i; Apache Tomcat; bazı F5 Big-IP ürünleri; Bugzilla’nın Proxmox’u; ÜcretsizBSD; Golang; Facebook’un Proxygen’i; ve dahası.
Microsoft ve AWS, HTTP2 Hızlı Sıfırlama saldırılarının nasıl önleneceği konusunda kendi tavsiyelerini yayınladı.