Báo cáo về lỗ hổng CVE-2023-44487, còn được gọi là Tấn công thiết lập lại nhanh HTTP/2 - HTTP/2 Rapid Reset DDoS Attack. Lỗ hổng này đã được Google, Amazon AWS và Cloudflare cùng tiết lộ vào ngày 10 tháng 10 năm 2023 lúc 12:00 UTC.

Các nhà nghiên cứu và nhà cung cấp đã tiến hành một cuộc điều tra về các cuộc tấn công DDoS quy mô lớn diễn ra từ tháng 8 đến tháng 10 năm 2023, dẫn đến việc phát hiện ra một kỹ thuật “đặt lại nhanh” mới tận dụng tính năng ghép kênh luồng, một tính năng của giao thức HTTP/2 được áp dụng rộng rãi.

Được tiết lộ ngày hôm nay, lỗ hổng thiết lập lại nhanh HTTP/2 đang được theo dõi là CVE-2023-44487 và được chỉ định là lỗ hổng có mức độ nghiêm trọng cao với điểm CVSS là 7,5 (trên 10).

Lỗ hổng này được cho là ảnh hưởng đến mọi máy chủ web triển khai HTTP/2 và có khả năng xảy ra các cuộc tấn công DDoS quy mô cực lớn nếu bị khai thác.

Amazon Web Services ( AWS ), Cloudflare và Google chia sẻ rằng họ đã thực hiện các hành động để ngăn chặn các cuộc tấn công mạng thực sự lớn. Microsoft đã phát hành một giải pháp thay thế để giảm thiểu vấn đề này cho các máy chủ Web .

Họ đã thực hiện các biện pháp để đảm bảo những cuộc tấn công này không gây ra vấn đề lớn . Vào cuối tháng 8 năm 2023, các công ty đã phát hiện ra các cuộc tấn công lớp 7 . Họ đã làm việc cùng nhau để nói với mọi người về điều đó. Họ gọi lỗ hổng này là CVE-2023-44487 , có số điểm 7,5/10 , nghĩa là nó khá nghiêm trọng .

Các cuộc tấn công vào cơ sở hạ tầng đám mây của Google đạt đỉnh điểm với 398 triệu yêu cầu mỗi giây. Những cuộc tấn công này sử dụng một phương pháp mới gọi là HTTP/2 Rapid Reset. Trong khi đó, AWS phải đối mặt với các cuộc tấn công với hơn 155 triệu yêu cầu mỗi giây và Cloudflare gặp phải các cuộc tấn công với hơn 201 triệu yêu cầu mỗi giây.

Thủ thuật “ Rapid Reset ” sử dụng một tính năng đặc biệt trong HTTP/2 được gọi là “ ghép kênh luồng ”. Nó hoạt động bằng cách gửi nhiều yêu cầu và nhanh chóng hủy chúng. Điều này khiến máy chủ phải làm việc vất vả, trong khi kẻ tấn công không phải làm gì nhiều. Cuộc tấn công này làm rối loạn trang web hoặc ứng dụng, khiến nó không hiệu quả.

Tham khảo từ nguồn:

• CVE-2023-44487 , CIRCL Tìm kiếm CVE
• Cách AWS bảo vệ khách hàng khỏi các sự kiện DDoS , AWS
• Cách thức hoạt động: Cuộc tấn công DDoS HTTP/2 'Đặt lại nhanh' mới , Google
• Thiết lập lại nhanh HTTP/2: giải mã cuộc tấn công phá kỷ lục , Cloudflare
• Phản ứng của Microsoft đối với các cuộc tấn công từ chối dịch vụ phân tán (DDoS) chống lại HTTP/2 , Microsoft
• Có thể đề cập đến một vấn đề tương tự vào năm 2018 liên quan đến HAproxy
• RFC7540 - Giao thức truyền siêu văn bản phiên bản 2 (HTTP/2)
• Khuyến cáo bảo mật 2023-074 Lỗ hổng DDoS thiết lập lại nhanh HTTP/2 , CERT-EU

Kiểm tra xem HTTP/2 có được bật hay không

OpenSSL

echo 1 | openssl s_client -alpn h2 -connect google.com:443 -status 2>&1| grep "ALPN"

Nmap

nmap -p 443 --script=tls-nextprotoneg www.google.com

Kiểm tra xem nó có dễ bị tổn thương hay không (bạn tự chịu rủi ro khi sử dụng)

• Công cụ quét lỗ hổng cơ bản để xem liệu máy chủ web có dễ bị tấn công bởi CVE-2023-44487 hay không

Khả năng khắc phục

NGINX

Có thể được cấu hình để giảm thiểu lỗ hổng

• Việc tắt HTTP/2 trong NGINX là không cần thiết. Chỉ cần đảm bảo bạn đã cấu hình:

  • keepalive_requests nên được giữ ở cài đặt mặc định là 1000 yêu cầu
  • http2_max_concurrent_streams nên giữ ở cài đặt mặc định là 128 luồng

Nếu bạn muốn loại bỏ http2

• Xóa tham chiếu đến http2 trong phần nghe

Bảo vệ DDoS / CDN

Tấn công thiết lập lại nhanh HTTP/2 DDOS Attack

Tấn công thiết lập lại nhanh HTTP/2 DDOS Attack

Các ứng dụng web đứng sau các nhà cung cấp/CDN bảo vệ DDoS sau sẽ không bị ảnh hưởng:

• AWS
• Cloudflare
• Google Cloud
• Microsoft Azure