“HTTP/2 Hızlı Sıfırlama” adı verilen sıfır gün saldırısının temelinde İnternet çapındaki bir güvenlik açığı yatıyor ve bu saldırı, şimdiye kadarki tüm saldırılardan çok daha büyük bir dağıtılmış hizmet reddi (DDoS) seli ile sonuçlandı. kaydedildi. Araştırmacılar bunun DDoS tehditlerinin gelişiminde yeni bir aşamaya işaret ettiğini belirtti.
Amazon Web Services, Cloudflare ve Google Cloud’un her biri, her biri yalnızca birkaç dakika süren birden fazla trafik dalgası içeren söz konusu saldırıyı bağımsız olarak gözlemledi. Bulut ve İnternet altyapısı sağlayıcılarını hedef aldılar ve saldırı 28-29 Ağustos tarihleri arasında gerçekleşti. Olayın arkasında bilinmeyen failler var ancak tüm Web uygulamalarının yaklaşık %60’ında kullanılan HTTP/2 protokolündeki bir hatadan yararlandıkları açık.
AWS, Cloudflare ve Google, Hızlı Sıfırlama saldırılarının gerçek dünyadaki etkilerini en aza indirmek için başta yük dengeleme ve diğer uç stratejiler olmak üzere diğer bulut, DDoS güvenliği ve altyapı sağlayıcılarıyla koordineli bir şekilde çalıştı. Ancak bu, İnternet’in korunduğu anlamına gelmez; Pek çok kuruluş hâlâ saldırı vektörüne karşı hassastır ve tehdide karşı bağışıklık kazanabilmek için HTTP/2 örneklerine proaktif olarak yama uygulaması gerekecektir.
Hızlı Sıfırlama DDoS Saldırıları Nasıl Çalışır?
HTTP/2 içindeki saldırıya duyarlılık CVE-2023-44487 olarak izleniyor ve 10 üzerinden 7,5 gibi yüksek önemde bir CVSS puanı taşıyor.
Cloudflare’e göre HTTP/2, “İnternet’in ve çoğu web sitesinin işleyişinin temel bir parçasıdır. HTTP/2, tarayıcıların bir web sitesiyle nasıl etkileşimde bulunduğundan sorumludur ve onlara resim ve metin gibi şeyleri hızlı bir şekilde görüntüleme ‘talep etmelerine’ olanak tanır ve Web sitesi ne kadar karmaşık olursa olsun hepsi aynı anda.”
Şirketin analizine göre saldırı tekniği, yüz binlerce HTTP/2 isteğinin aynı anda yapılmasını ve ardından bunların hemen iptal edilmesini içeriyor.
Cloudflare’in 10 Ekim’de yayınlanan Hızlı Sıfırlama saldırılarına ilişkin tavsiyesine göre, “Bu ‘istek, iptal, istek, iptal’ modelini geniş ölçekte otomatikleştirerek, tehdit aktörleri web sitelerini altüst edebilir ve HTTP/2 çevrimdışı kullanan her şeyi devre dışı bırakabilir.” .
Dark Reading’e yapılan bir medya açıklamasında, Ağustos kampanyasının zirvesi sırasında Cloudflare’in saniyede 201 milyonun üzerinde istek (rps) gördüğü belirtildi ve “bazı kuruluşların, azaltımlarının zamanlaması nedeniyle daha da büyük sayılara tanık olduğu” belirtildi. Bu, geçen yıl 71 milyon rps’ye ulaşan bir DDoS saldırısı olan önceki rekorun üç katı büyüklüğünde.
Bu arada Google, kaynaklarına yönelik daha önceki saldırılardan yedi buçuk kat daha büyük olan 398 milyon rps’lik bir zirve gözlemledi; AWS, Amazon CloudFront hizmetini hedef alan 155 milyon rps’nin üzerinde bir zirve tespit etti.
“Ölçeklendirme açısından bu [peak] Google araştırmacıları 10 Ekim tarihli bir gönderide, iki dakikalık saldırının, Wikipedia’nın tüm Eylül ayı boyunca bildirdiği toplam makale görüntüleme sayısından daha fazla talep oluşturduğuna dikkat çekti.
Yöntemin gücü, Ağustos tsunamisinin 20.000’den az düğüm içeren mütevazı boyutlu bir botnet kullanılarak başlatılmasını sağlayacak kadar güçlü. Bu, Hızlı Sıfırlamayı yalnızca güçlü bir silah değil aynı zamanda oldukça etkili bir silah haline getirir.
Şirketin analizine göre “Cloudflare, yüzbinlerce ve hatta milyonlarca makineden oluşan bundan daha büyük büyüklükteki botnet’leri düzenli olarak tespit ediyor.” “Nispeten küçük bir botnet’in, HTTP/2’yi destekleyen hemen hemen her sunucu veya uygulamayı devre dışı bırakma potansiyeliyle bu kadar büyük miktarda istek göndermesi, bu güvenlik açığının korumasız ağlar için ne kadar tehditkar olduğunun altını çiziyor.”
Hızlı Sıfırlama Azaltma
AWS ve Google’a göre, ağustos ayındaki ilk sıfır gün saldırısının ardından bulut sağlayıcıları ve DDoS güvenlik sağlayıcıları tarafından uygulamaya konulan kapsamlı önlemlere rağmen saldırganlar, hatayı kullanarak sürekli olarak DDoS girişimleri başlatıyor.
Bulut devi bugün yaptığı bir gönderide, “Bu iki gün boyunca AWS, bir düzineden fazla HTTP/2 hızlı sıfırlama olayını gözlemledi ve hafifletti ve Eylül ayı boyunca bu yeni tür HTTP/2 istek akınını görmeye devam etti.” dedi.
Google araştırmacılarına göre, “İnternet’e HTTP tabanlı iş yükü sunan herhangi bir kuruluş veya birey bu saldırı riski altında olabilir. HTTP/2 protokolünü kullanarak iletişim kurabilen bir sunucu veya proxy üzerindeki web uygulamaları, hizmetler ve API’ler savunmasız olabilir.”
“Kendi HTTP/2 özellikli sunucularını (açık kaynak veya ticari) yöneten veya çalıştıran kuruluşlar, mevcut olduğunda CVE-2023-44487 için satıcı yamalarını uygulamalıdır.”
Hızlı Sıfırlama saldırıları, arkalarındaki siber saldırganların umduğu kritik etkiyi yaratmamış olsa da, özellikle DDoS saldırılarının devam ettiği göz önüne alındığında, tehdit aktörlerinin bu tekniğe ilk etapta öncülük edebilmesi şirketlerin dikkatini çekmelidir. Siber saldırganların cephaneliklerinde önemli bir araç.
Cloudflare CSO’su Grant Bourzikas bir medya açıklamasında şunları söyledi: “Hızlı Sıfırlama gibi güvenlik açıklarından yararlanan büyük ölçekli saldırılar karmaşık ve hafifletilmesi zor olsa da, bize geliştirme aşamasındaki yeni tehdit aktörü tekniklerine dair benzeri görülmemiş bir görünürlük sağlıyor.” “‘Mükemmel açıklama’ diye bir şey olmasa da, kesintiler ve yol boyunca yaşanan aksaklıklar nedeniyle, saldırıları engellemek ve son dakika olaylarına müdahale etmek, kuruluşların ve güvenlik ekiplerinin ‘ihlali varsayma’ zihniyetiyle yaşamasını gerektirir.”