Sıfır Gün Saldırıları HTTP/2’deki ‘Hızlı Sıfırlama’ Zayıflığından Yararlanıyor

ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı Salı günü yayınlanan bir güvenlik uyarısında, satıcıların etkilenen tüm yazılımlara henüz yama yapmamış olmasına rağmen, pek çoğunun yöneticilerin hemen yapabileceği ayrıntılı “yapılandırma değişiklikleri ve diğer hafifletme önlemleri”ne sahip olduğunu söyledi.

Saldırganlar, sunucuları, hizmetleri, uygulamaları ve API’leri etkileyebilecek hızlı istek saldırıları adı verilen saldırılar yoluyla HTTP/2 güvenlik açıklarından aktif olarak yararlanıyor. Saldırıları engellemenin bir yolu, HTTP/2’yi geçici olarak devre dışı bırakmaktır.

Amazon Web Services, Cloudflare ve Google, Ağustos ayının sonlarında ani, büyük trafik artışlarından etkilendiklerinde Hızlı Sıfırlama güvenlik açığının ortaya çıktığını gördüklerini bildirdi. Dağıtılmış hizmet reddi koşullarına neden olabilecek saldırıların izini, HTTP/2’de hızlı sıfırlama isteklerinin yapılmasına izin veren ve hedeflenen sunucuları bunaltabilen bir özelliğe kadar takip ettiler.

Bulut sağlayıcıları ve yazılım satıcılarından oluşan bir konsorsiyum, Salı günü yayınlamaya başladıkları yamaları ve hafifletici önlemleri geliştirmek için o zamandan bu yana işbirliği yapıyor. Bu güvenlik açığına duyarlılık CVE-2023-44487 olarak izlenmektedir. CISA bu tür saldırıların devam ettiği konusunda uyarıyor.

Google ürün yöneticisi Emil Kiner ve Google’da güvenlik güvenilirliği mühendisi Tim April, bir blog yazısında “İnternete HTTP tabanlı iş yükü sunan herhangi bir kuruluş veya birey bu saldırı riski altında olabilir” dedi. “HTTP/2 protokolünü kullanarak iletişim kurabilen bir sunucu veya proxy üzerindeki web uygulamaları, hizmetler ve API’ler saldırıya açık olabilir.”

Yeni saldırıların boyutunu göstermek için Google, Ağustos 2022’de saniyede 46 milyon istekle zirveye ulaşan rekor bir DDoS saldırısıyla karşı karşıya kaldığını söyledi. Ağustos ayında Google, yedi kat daha güçlü ve saniyede 398 milyon istekle zirveye ulaşan bir HTTP/2 hızlı istek saldırısına maruz kaldığını söyledi.

Google’dan Kiner ve April, “Ölçeklendirme açısından bakıldığında, bu 2 dakikalık saldırı, Wikipedia’nın tüm Eylül ayı boyunca bildirdiği toplam makale görüntüleme sayısından daha fazla talep üretti” dedi.

Amazon Web Services, 28 Ağustos’ta “yüksek hacimli yasa dışı web isteklerinin bir web sunucusunun meşru müşteri isteklerine yanıt verme yeteneğini aştığı zaman ortaya çıkan” HTTP/2 istek seli kullanan ilk DDoS saldırılarına maruz kaldığını bildirdi.

İstek taşmaları DDoS saldırılarını gerçekleştirmek için zaten kullanılmış olsa da HTTP/2, saldırganların yeni yollarla yararlanabileceği özelliklere sahiptir. Amazon’un güvenlik direktörü Mark Ryland bir blog yazısında “HTTP/2, tek bir HTTP oturumu üzerinden birden fazla farklı mantıksal bağlantının çoğaltılmasına olanak tanıyor” dedi. “Bu, her HTTP oturumunun mantıksal olarak farklı olduğu HTTP 1.x’ten bir değişikliktir.”

Saldırganlar, “hızlı bir şekilde art arda istekler ve sıfırlamalarla birden fazla HTTP/2 bağlantısı” göndererek bunu kötüye kullanabilirler, bu da sunucunun var olmayan olaylar için günlükler oluşturmasına neden olabilir ve bu da sunucunun aşırı yüklenmesine neden olabilir.

“Bir istemci yeni bir multipleks akış için tekrar tekrar istekte bulunabilir ve hemen bir mesaj gönderebilir. RST_STREAM Red Hat tarafından yayınlanan bir güvenlik uyarısına göre “Bu, sunucunun akışları kurması ve kesmesi için ekstra iş yaratırken, bağlantı başına maksimum aktif akış sayısı için sunucu tarafı sınırına ulaşmaması anlamına geliyor. sunucu kaynağı tüketimi nedeniyle hizmet reddi durumunda.”

DDoS savunma firması Cloudflare bir blog yazısında, “Bu ‘istek, iptal, istek, iptal’ modelini geniş ölçekte otomatikleştirerek, tehdit aktörleri web sitelerini baskı altına alabilir ve çevrimdışı olarak HTTP/2 kullanan her şeyi devre dışı bırakabilir” dedi.

AWS, altyapısındaki ilgili yazılımı yamaladığını ve Google ve Cloudflare gibi hızlı sıfırlama saldırılarında kullanılan “Katman 7 istek baskınları” için ek savunmalar eklediğini söyledi.

Microsoft da dahil olmak üzere çok sayıda satıcı, bir güvenlik açığını hedef alan HTTP/2 hızlı sıfırlama saldırılarına karşı koruma sağlamak için yamalar yayınladı veya vaat etti. Teknoloji devi, “müşterileri bu DDoS saldırılarının etkisinden daha iyi korumak için web hizmeti uygulamalarımızdaki ve yamalı hizmetlerimizdeki güçlendirilmiş katman 7 korumaları” olduğunu söyledi.

Microsoft, şu anda desteklenen tüm işletim sistemlerini içeren etkilenen ürünlerin bir listesini yayımladı ve kendi kendini barındıran web uygulamaları veya proxy’lerin hemen yama uygulamasını tavsiye ediyor. Azure Ön Kapı ve Azure Application Gateway müşterilerinin, saldırıları engellemeye yardımcı olması için Azure’un yerleşik web uygulaması güvenlik duvarını etkinleştirmeleri önerilir.

Yama uygulanması gereken diğer etkilenen yazılımlar arasında web sunumu ve diğer işlevler için NGINX açık kaynak yazılımı, F5 BIG-IP yük dengeleme araçları ve Apache HTTP/2 modülü yer alıyor. Uzmanlar, etkilenen tüm ürünler için yamaların mevcut olmadığını ve etkilenen tüm ürünlerin henüz tanımlanmamış olabileceğini söylüyor.

AWS, “kendi HTTP/2 özellikli web sunucularını işleten müşterilerin, etkilenip etkilenmediklerini belirlemek için web sunucusu satıcılarıyla doğrulamalarını ve eğer öyleyse, bu sorunu çözmek için ilgili sağlayıcılarının en son yamalarını yüklemelerini önerdiğini” söyledi.

HTTP/2’yi devre dışı bırakmak, hızlı sıfırlama DDoS saldırılarını engellemek için geçici bir hafifletme yöntemi olsa da uzmanlar, hedeflenen işlevsellik de dahil olmak üzere HTTP/1’e birçok avantaj sunan protokole sadık kalınmasını öneriyor.

Cloudflare, “İstek iptali yararlı bir özelliktir” dedi. “Örneğin, birden fazla resim içeren bir web sayfasını kaydırırken, bir web tarayıcısı görünümün dışına çıkan resimleri iptal edebilir, bu da ona giren resimlerin daha hızlı yüklenebileceği anlamına gelir. HTTP/2, bu davranışı HTTP/1.1’e kıyasla çok daha verimli hale getirir.”