HTTP2 Rapid Reset - kritisk sårbarhet som kan utnyttjas för stora överbelastningsangrepp
En kritisk sårbarhet har upptäckts i HTTP/2-protokollet, som används brett på internet. Angripare har hittat ett sätt att använda en funktion i HTTP/2 för att betydligt öka storleken på överbelastningsangrepp. Detta kan komma att påverka åtkomsten till många produkter, både företagslösningar och konsumentorienterade produkter och tjänster [1].
Sårbarheten (CVE-2023-44487), som även går under namnet Rapid Reset, började utnyttjas i augusti i år. Den utnyttjas genom att skicka en förfrågan som genast dras tillbaka (en funktion som ingår i HTTP/2), vilket gör att angriparen kan kringgå väntan på svar. Detta medför ett mer effektivt och omfattande överlastningsangrepp.
Flera av de stora molnleverantörerna har publicerat information om hur man hanterar sårbarheten i sina respektive molnmiljöer [2, 3, 4, 5, 6, 7, 8, 9].
Leverantörerna rapporterar att omfattningen av Rapid Reset-angreppen har varit “signifikant större” jämfört med tidigare rapporterade Layer 7-angrepp. Bland de större angreppen fanns ett fall som innehöll fler än 398 miljoner anrop per sekund.
Påverkade produkter
Molntjänster överlag - se källistan för kommunikation från respektive leverantör.
Rekommendationer
CERT-SE rekommenderar att snarast möjligt installera relevanta säkerhetsuppdateringar samt följa de rekommendationer som publiceras av era respektive internet- och molnleverantörer.
Källor
[1] https://www.cisa.gov/news-events/alerts/2023/10/10/http2-rapid-reset-vulnerability-cve-2023-44487
[2] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-44487
[4] https://aws.amazon.com/blogs/security/how-aws-protects-customers-from-ddos-events/
[5] https://aws.amazon.com/security/security-bulletins/AWS-2023-011/
[7] https://blog.cloudflare.com/technical-breakdown-http2-rapid-reset-ddos-attack/
[9] https://www.nginx.com/blog/http-2-rapid-reset-attack-impacting-f5-nginx-products/