Cloudflare, Google und Amazon Web Services (AWS) haben kürzlich eine neue kritische Schwachstelle im HTTP/2-Protokoll aufgedeckt und Schutzmaßnahmen dagegen ergriffen (siehe CVE-2023-44487 für Details).
Ein Angreifer nutzte bereits seit einigen Monaten die Lücke namens Rapid Reset, um DDoS-Angriffe gegen Webserver durchzuführen. Google beobachtete 398 Millionen Anfragen pro Sekunde, Cloudflare nannte mehr als 200 Millionen Anfragen pro Sekunde. Diese seien fast dreimal so massiv gewesen wie der massivste DDoS-Angriff, den Cloudflare je verzeichnete.
„Wir haben die verantwortungsbewusste Offenlegung und Entschärfung der Schwachstelle mit CISA, MITRE, Google, Amazon und Branchenkollegen koordiniert“, teilte Cloudflare in einer Pressemitteilung mit.
Die neue Cyberattacke, dessen Urheber bisher unbekannt ist, funktioniert folgendermaßen: Sie stellt Hunderttausende von „Anfragen“ und bricht diese sofort wieder ab. Durch die Automatisierung dieser Methode (Angriff, Abbruch, Angriff, Abbruch usf.) könnten Hacker Websites im gesamten Internet überwältigen und alles, was HTTP/2 verwendet, offline schalten. Und zwar in einem bisher nie dagewesenen Ausmaß. Denn: HTTP/2 ist die Grundlage für etwa 60 Prozent aller Webanwendungen und bestimmt die Geschwindigkeit und Qualität, mit der Nutzer Websites sehen und mit ihnen interagieren.
„Besorgniserregend ist die Tatsache, dass der Angreifer in der Lage war, einen solchen Angriff mit einem Botnetz von nur 20.000 Rechnern durchzuführen“, schreiben die Cloudflare-Systemingenieure Lucas Pardue und Julien Desgats in einem Blogartikel.
Nach eigenen Angaben entdeckt unser Partner Cloudflare regelmäßig Botnets, die um einiges größer sind und aus Hunderttausenden oder Millionen von Rechnern bestehen. „Die Tatsache, dass ein relativ kleines Botnetz ein so großes Volumen an Anfragen ausgeben kann, mit dem Potenzial, nahezu jeden Server oder jede Anwendung, die HTTP/2 unterstützt, lahmzulegen, unterstreicht, wie bedrohlich diese Schwachstelle für ungeschützte Netzwerke ist“, so die Experten.
In einem Blogbeitrag über die Funktionsweise des Vektors berichteten die Google-Experten Juho Snellman und Daniele Iamartino, dass der Angriff bereits früher begonnen hat: Er habe über mehrere Monate hinweg stattgefunden und im August seinen Höhepunkt erreicht, heißt es.
Ein primäres Entwicklungsziel von HTTP/2 war Effizienzsteigerung, so die Autoren. „Leider können die Funktionen, die HTTP/2 effizienter machen, auch dazu verwendet werden, DDoS-Angriffe effizienter zu machen.“
Wer ist von einem potenziellen Missbrauch der HTTP2-Schwachstelle betroffen?
Im Prinzip ist jeder Anbieter, der HTTP/2 implementiert hat, dem Angriff ausgesetzt. AWS, Cloudflare und Google haben die Angriffsmethode allen Anbietern von Webservern offengelegt, damit diese Patches implementieren können. „In der Zwischenzeit ist die beste Verteidigung die Verwendung eines DDoS-Abwehrdienstes vor jedem Web- oder API-Server, der mit dem Internet verbunden ist“, so Cloudflare.
Das National Institute of Standards and Technology (NIST) hatte zum Zeitpunkt der Veröffentlichung noch keine Einstufung des Bedrohungsgrads der Lücke vorgenommen. Auf seiner Webseite sind betroffene Softwares aufgeführt, u. a. Apache Tomcat, Kubernetes, Openwall. Von Microsoft gibt es Sicherheitspatches.
Wer sich für Security-Services von Concat interessiert, findet Lösungen auf unserer Webseite.
Sollten Sie auf der it-sa in Nürnberg vor Ort sein (bis 12.10.2023), freuen wir uns über Ihren Besuch. Sie finden uns am Stand unseres Partners Cloudflare in Halle 7A, Stand-Nr. 212.
