В Cloudflare рассказали об ошибке нулевого дня и самой масштабной DDoS атаке

Сегодня в Cloudflare Google AWS сообщили о существовании новой уязвимости нулевого дня, получившей название «HTTP/2 Rapid Reset». Ее использование дало хакерам возможность организовать DDoS атаку с рекордными 201 млн запросов в секунду (RPS).

Cloudflare вместе с Google и AWS рассказали об ошибке нулевого дня и самой масштабной DDoS атаке. Фото: из архива Cloudflare

Из сообщения Cloudflare:

«В конце августа 2023 года наша команда Cloudflare заметила новую уязвимость нулевого дня, разработанную неизвестным злоумышленником и использующую стандартный протокол HTTP/2 — фундаментальный протокол, который имеет решающее значение для работы Интернета и всех веб-сайтов. Эта новая атака на уязвимость нулевого дня, получившая название Rapid Reset, использует функцию отмены потока HTTP/2, отправляя запрос и немедленно отменяя его снова и снова.»

Автоматизируя этот тривиальный шаблон «запрос, отмена, запрос, отмена» в масштабе, злоумышленники могут создать отказ в обслуживании и отключить любой сервер или приложение, работающее со стандартной реализацией HTTP/2. Кроме того, в отношении рекордной атаки следует отметить один важный момент: в ней участвовал ботнет небольшого размера, состоящий примерно из 20 тыс. машин. Как сообщается, специалисты Cloudflare регулярно обнаруживает ботнеты, размер которых на порядки больше, — включающие сотни тысяч и даже миллионы машин. То, что относительно небольшой ботнет выдает такой большой объем запросов, потенциально способный вывести из строя практически любой сервер или приложение, поддерживающее HTTP/2, подчеркивает, насколько опасна эта уязвимость для незащищенных сетей.

Злоумышленники использовали ботнеты в сочетании с уязвимостью HTTP/2 для увеличения количества запросов с огромной скоростью. В результате команда в Cloudflare столкнулась с периодической нестабильностью границ. Объем запросов перегрузил некоторые компоненты сети, что повлияло на производительность небольшого количества клиентов из-за периодических ошибок 4xx и 5xx — все они были быстро устранены, говорят в компании.

Из сообщения Cloudflare

«Как только мы успешно устранили эти проблемы и остановили потенциальные атаки на всех клиентов, наша команда немедленно приступила к ответственному процессу раскрытия информации. Мы вступили в переговоры с коллегами из отрасли, чтобы узнать, как мы могли бы работать вместе, чтобы помочь продвинуться вперед в нашей миссии и защитить большую часть Интернета, который зависит от нашей сети, прежде чем раскрыть эту уязвимость для широкой публики.»

В пресс-релизе компании утверждается, что в процессе отражения этой атаки команда Cloudflare разработала и специально создала новую технологию, позволяющую остановить эти DDoS-атаки и улучшить собственные средства защиты от этой и других будущих атак массового масштаба.

Команда Cloudflare также опубликовала перечень рекомендаций по защите от нового типа DDoS-атак.

Startpack подготовил список продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.

Статьи по теме