Schwachstelle in HTTP/2: Google, AWS und Cloudflare melden neue DDoS-Rekorde
Angreifer nutzen seit August eine Zero-Day-Schwachstelle im HTTP/2-Protokoll aus, um durch eine neue DDoS-Angriffstechnik namens Rapid Reset die Funktionalität verschiedener Onlinedienste zu beeinträchtigen. Namhafte Cloudanbieter wie Google, Amazon und Cloudflare haben infolgedessen neue Rekord-Angriffe verzeichnet.
Mit 398 Millionen Anfragen pro Sekunde (RPS) hat Google nach eigenen Angaben(öffnet im neuen Fenster) den bisher größten DDoS-Angriff aller Zeiten abgewehrt. Innerhalb von zwei Minuten habe der Angreifer mehr Anfragen generiert als Wikipedia im gesamten Monat September 2023 empfangen habe, heißt es. Auch Cloudflare(öffnet im neuen Fenster) und Amazon Web Services (AWS)(öffnet im neuen Fenster) meldeten mit 201 respektive 155 Millionen RPS neue Rekorde. Microsoft ist wohl auch betroffen(öffnet im neuen Fenster) , nennt aber bisher keine genauen Zahlen.
Cloudflare behauptet, der von dem Unternehmen abgewehrte Angriff sei von einem vergleichsweise kleinen Botnetz mit lediglich 20.000 Teilnehmern erzielt worden. Obendrein habe der Anbieter seit Ende August insgesamt 184 DDoS-Angriffe erfasst, die größer gewesen seien als sein zuvor verzeichneter DDoS-Rekord mit 71 Millionen Anfragen pro Sekunde. Über 1.100 registrierte Angriffe seien jeweils auf mehr als 10 Millionen RPS gekommen.
Missbrauch der RST_Stream-Frames von HTTP/2
Bei der für die Angriffe ausgenutzten Schwachstelle, die als CVE-2023-44487 registriert ist, handelt es sich im Grunde um einen missbräuchlichen Einsatz von RST_Stream-Frames, durch die ein Client einen vorherigen Stream abbrechen kann, den er via HTTP/2 zu einem Server aufgebaut hat. Dadurch kann das angreifende System kontinuierlich Anfragen senden und wieder abbrechen und dadurch das Zielsystem überlasten.
"Das Protokoll verlangt nicht, dass der Client und der Server den Abbruch in irgendeiner Weise koordinieren, der Client kann dies einseitig tun" , erklärt Google diesbezüglich in einem separaten Blogbeitrag(öffnet im neuen Fenster) . "Die Anfrage wird abgebrochen, aber die HTTP/2-Verbindung bleibt offen."
Hinzu komme die Tatsache, dass der Server mit abgebrochenen Anfragen immer noch einiges an Arbeit zu erbringen habe. Dazu gehöre etwa die Zuweisung neuer Stream-Datenstrukturen, das Parsen der Anfrage, die Dekomprimierung der Header sowie die Zuordnung der URL zu einer Ressource. Dem Client hingegen entstehen für das Senden der Anfragen fast keine Kosten. Dies habe schließlich "eine ausnutzbare Kostenasymmetrie zwischen dem Server und dem Client" zur Folge.