Am 10. Oktober haben Amazon Web Services, Cloudflare und Google in einer koordinierten Ankündigung ihre Erfahrungen mit der Entschärfung von massiven HTTP/2-basierten DDoS-Angriffen bekannt gegeben, die eine als „Rapid Reset“ bezeichnete Zero-Day-Technik nutzen, die unter der Schwachstellenbezeichnung CVE-2023-44487 dokumentiert ist. Die gemeldeten Angriffsgrößen sind erstaunlich: Amazon konnte Angriffe mit einer Rate von 155 Millionen Anfragen pro Sekunde abwehren, Cloudflare 201 Millionen pro Sekunde, und Google musste einen Rekord von 398 Millionen pro Sekunde hinnehmen. Diese Sicherheitslücke wurde im August aktiv angegriffen.
Was ist der CVE-2023-44487 HTTP/2-Rapid-Reset-Angriff?
Die „Rapid Reset“-Technik nutzt die „Stream-Multiplexing“-Funktion von HTTP/2, bei der zahlreiche Anfragen und anschließende sofortige Abbrüche eine erhebliche serverseitige Arbeitslast mit minimalen Kosten für den Angreifer auf der Client-Seite verursachen. Der Angriff nutzt eine Funktion von HTTP/2 aus, indem er wiederholt Anfragen sendet und abbricht, wodurch die Ziel-Website oder -Anwendung überlastet wird und nicht mehr richtig funktioniert. HTTP/2 verfügt über eine Sicherheitsfunktion, die versucht, die Anzahl der aktiven Streams zu begrenzen, um sich vor DoS-Angriffen zu schützen, aber das funktioniert nicht immer effektiv.
Das Protokoll ermöglicht es dem Client, Streams abzubrechen, ohne die Zustimmung des Servers einzuholen, was bei diesem Angriff ausgenutzt wird. Botnets können enorme Anfrageraten generieren und stellen damit eine ernsthafte Bedrohung für gezielte Web-Infrastrukturen dar.
Die Sicherheitslücke CVE-2023-44487 betrifft Webserver, die durch die schnelle Erzeugung und den Abbruch von Streams zusätzliche Last verursachen, was zu einem Denial of Service führen kann. Kunden, die ihre eigenen HTTP/2-fähigen Webserver nutzen, wird empfohlen, sich mit ihren jeweiligen Webserver-Anbietern in Verbindung zu setzen, um bei Bedarf die erforderlichen Patches zu implementieren.
Was sollten Unternehmen tun?
Bei der Entschärfung von HTTP/2-Rapid-Reset-Angriffen ist ein vielschichtiger Ansatz erforderlich. Verwenden Sie umfassende HTTP-Flood-Schutz-Tools und verbessern Sie die DDoS-Abwehr durch den Einsatz verschiedener Strategien zur Schadensbegrenzung. Die Implementierung von Ratenkontrollen ist von zentraler Bedeutung für die Bewältigung der Auswirkungen dieser Angriffe, da sie das Protokoll direkt ausnutzen und es keine Einheitslösung gibt. Die wichtigste Präventivmaßnahme für alle Verteidigungsmaßnahmen ist die rechtzeitige Aktualisierung und das Patchen der Systeme. Kunden sollten ihre Systeme mit den verfügbaren Patches aktualisieren, um sich gegen diese Schwachstelle zu wappnen und eine robuste Barriere gegen ausbeuterische Angriffe zu gewährleisten.
Wie kann Qualys helfen?
Der Umgang mit den Risiken von CVE-2023-44487, oder dem HTTP/2-Rapid-Reset-Angriff, beginnt mit der Identifizierung anfälliger Anlagen. Verwenden Sie die folgenden QIDs, um diese Angelegenheit zu unterstützen.
Bewerten Sie die vom Hersteller vorgeschlagenen Abhilfemaßnahmen mit Policy-Compliance (PC). Mit Qualys-Policy-Compliance’s Out-of-the-Box-Mitigation oder Compensatory-Controls reduzieren Sie das Risiko, dass eine Schwachstelle ausgenutzt wird, weil die Behebung (Fix/Patch) nicht sofort durchgeführt werden kann. Diese Sicherheitskontrollen werden von keinem Industriestandard wie CIS, DISA-STIG empfohlen.
Das Qualys-Policy-Compliance-Team gibt diese exklusiven Kontrollen auf der Grundlage der vom Hersteller vorgeschlagenen Abhilfemaßnahmen frei.
Mitigation bezieht sich auf eine Einstellung, eine gemeinsame Konfiguration oder eine allgemeine bewährte Praxis, die im Standardzustand vorhanden ist und den Schweregrad der Ausnutzung einer Schwachstelle verringern kann.
Ein Workaround ist eine Methode, die manchmal vorübergehend eingesetzt wird, um eine Aufgabe oder ein Ziel zu erreichen, wenn die übliche oder geplante Methode nicht funktioniert. In der Informationstechnologie wird ein Workaround häufig zur Überwindung von Hardware-, Programmier- oder Kommunikationsproblemen eingesetzt. Sobald ein Problem behoben ist, wird ein Workaround in der Regel wieder aufgegeben.
Die folgenden Qualys Policy Compliance Control IDs (CIDs) und System Defined Controls (SDCs) wurden aktualisiert, um empfohlene Abhilfemaßnahmen zu unterstützen:
Für Windows und IIS-Technologie:
17331 Status der ‚HTTP/2‘-Funktion auf dem Host (EnableHttp2Cleartext)
17330 Status der ‚HTTP/2‘-Funktion auf dem Host (EnableHttp2Tls)
Für F5 BIG-IP-Technologie:
26840 Status der für das ltm http2-Profil konfigurierten Einstellung „concurrent-streams-per-connection“ (gleichzeitige Streams pro Verbindung)
Für die Nginx-Technologie:
26842, Status der Einstellung „http2_max_concurrent_streams“ (Http-Block)
26844, Status der Einstellung „http2_max_concurrent_streams“ (Server-Block)
26841, Status der ‚keepalive_requests‘-Einstellung (Http-Block)
26843, Status der ‚keepalive_requests‘-Einstellung (Server-Block)
26845, Status der ‚keepalive_requests‘-Einstellung (Location-Block)
22615, Status der ‚limit_conn‘-Einstellung (Http-Block)
22616, Status der ‚limit_conn‘-Einstellung (Server-Block)
22617, Status der ‚limit_conn‘-Einstellung (Location Block)
22619, Status der ‚limit_req‘-Einstellung (Http-Block)
22620, Status der ‚limit_req‘-Einstellung (Server-Block)
22621, Status der ‚limit_req‘-Einstellung (Location Block)
Abhilfemaßnahmen mit Qualys-Custom-Assessment and Remediation (CAR) durchführen
Qualys-Custom-Assessment and Remediation (CAR) kann zur Durchführung von Abhilfemaßnahmen genutzt werden.
Für Windows und IIS-Technologie:
Das CAR-Team befasst sich mit den eingeführten Abhilfemaßnahmen/Workarounds für andere unterstützte Technologien und wird ein Update bereitstellen, sobald die Skripte der Bibliothek hinzugefügt werden.
Hinweis: Die Skripte werden in der CAR-Skriptbibliothek verfügbar sein.
Schlussfolgerung
Diese Geschichte ist damit noch nicht abgeschlossen. Die Qualys-Threat-Research-Unit bleibt proaktiv und wird weitere QIDs veröffentlichen. Bleiben Sie dran für weitere Updates. Als Reaktion auf den CVE-2023-44487 HTTP/2 „Rapid Reset“-Angriff ist dringendes Patchen erforderlich. Unternehmen müssen der sofortigen Aktualisierung ihrer Systeme Vorrang einräumen, um sich vor diesen Cyber-Bedrohungen zu schützen.
Von Saeed Abbasi, Produktmanager – Abteilung Threat Research, Qualys und Xiaoran (Alex) Dong, Manager, Compliance Signature Engineering, Qualys.