Siber Muhbir

Amazon Web Services (AWS), Cloudflare ve Google Salı günü yaptığı açıklamada, HTTP/2 Hızlı Sıfırlama adı verilen yeni bir tekniğe dayanan rekor kıran dağıtılmış hizmet reddi (DDoS) saldırılarını azaltmak için adımlar attıklarını söyledi.

Şirketler, koordineli bir açıklamada, katman 7 saldırılarının Ağustos 2023'ün sonlarında tespit edildiğini söyledi. Bu saldırıya karşı kümülatif duyarlılık CVE-2023-44487 olarak izleniyor ve maksimum 7 üzerinden 5,10 CVSS puanı taşıyor.

Google'ın bulut altyapısına yönelik saldırılar saniyede 398 milyon istek (RPS) ile zirve yaparken, AWS ve Cloudflare'i hedef alanlar sırasıyla saniyede 155 milyon ve 201 milyon istek (RPS) hacmini aştı.

HTTP/2 Hızlı Sıfırlama, HTTP/2 protokolünde DDoS saldırılarını gerçekleştirmek için kullanılabilecek bir sıfır gün kusurunu ifade eder. HTTP/2'nin önemli bir özelliği, eşzamanlı akışlar şeklinde tezahür eden tek bir TCP bağlantısı üzerinden istekleri çoğullamaktır.

Dahası, bir isteği iptal etmek isteyen bir istemci, veri alışverişini durdurmak için bir RST_STREAM çerçevesi yayınlayabilir. Hızlı Sıfırlama saldırısı, istekleri hızlı bir şekilde art arda göndermek ve iptal etmek için bu yöntemden yararlanır, böylece sunucunun eşzamanlı akış maksimumunu atlar ve yapılandırılmış eşiğine ulaşmadan sunucuyu aşırı yükler.

AWS'den Mark Ryland ve Tom Scholl, "HTTP/2 hızlı sıfırlama saldırıları, isteklerin ve sıfırlamaların hızlı bir şekilde art arda yapıldığı birden çok HTTP/2 bağlantısından oluşur" dedi.

"Örneğin, birden fazla akış için bir dizi istek iletilecek ve ardından bu isteklerin her biri için bir sıfırlama yapılacaktır. Hedeflenen sistem, her isteği ayrıştıracak ve harekete geçecek, daha sonra bir istemci tarafından sıfırlanan veya iptal edilen bir istek için günlükler oluşturacaktır."

Akışları anında sıfırlama yeteneği, her bağlantının uçuşta belirsiz sayıda isteğe sahip olmasına izin verir, böylece bir tehdit aktörünün, hedeflenen bir web sitesinin yeni gelen isteklere yanıt verme yeteneğini bastırabilecek bir HTTP/2 istekleri barajı yayınlamasına olanak tanır.

Başka bir deyişle, yüz binlerce HTTP/2 akışı başlatarak ve bunları kurulu bir bağlantı üzerinden büyük ölçekte hızla iptal ederek, tehdit aktörleri web sitelerini bunaltabilir ve çevrimdışı hale getirebilir. Bir diğer önemli husus, bu tür saldırıların, Cloudflare tarafından gözlemlendiği gibi 20.000 makineyi ayarlayacak mütevazı boyutlu bir botnet kullanılarak gerçekleştirilebilmesidir.

Cloudflare'in baş güvenlik sorumlusu Grant Bourzikas, "Bu sıfır gün, tehdit aktörlerine, kurbanlarını daha önce hiç görülmemiş bir büyüklükte istismar etmek ve onlara saldırmak için İsviçre Çakısı güvenlik açıklarında kritik yeni bir araç sağladı" dedi.

W2Techs'e göre HTTP/35, tüm web sitelerinin %6,3'sı tarafından kullanılıyor. HTTP/2 kullanan isteklerin yüzdesi, Web Almanak tarafından paylaşılan verilere göre %77'dir.

Google Cloud, Hızlı Sıfırlama saldırılarının ilk sürüm kadar etkili olmasa da standart HTTP / 2 DDoS saldırılarından daha verimli olan birden fazla çeşidini gözlemlediğini söyledi.

Juho Snellman ve Daniele Lamartino, "İlk varyant akışları hemen iptal etmiyor, bunun yerine bir kerede bir grup akış açıyor, bir süre bekliyor ve ardından bu akışları iptal ediyor ve ardından hemen başka bir büyük yeni akış grubu açıyor" dedi.

"İkinci varyant, akışları tamamen iptal etmeyi ortadan kaldırıyor ve bunun yerine iyimser bir şekilde, reklamı yapılan sunucudan daha fazla eşzamanlı akış açmaya çalışıyor."

F5, kendi başına bağımsız bir danışma belgesinde, saldırının NGINX HTTP / 2 modülünü etkilediğini ve müşterilerini eşzamanlı akış sayısını varsayılan olarak 128 ile sınırlamak ve 1000 isteğe kadar HTTP bağlantılarını sürdürmek için NGINX yapılandırmalarını güncellemeye çağırdı.

"Bugünden sonra, tehdit aktörleri HTTP/2 güvenlik açığının büyük ölçüde farkında olacak; ve savunmacılar ile saldırılar arasındaki yarıştan yararlanmak ve başlatmak kaçınılmaz olarak önemsiz hale gelecektir - ilk yama yapan ve ilk yararlanan "dedi Bourzikas. "Kuruluşlar, sistemlerin test edileceğini varsaymalı ve korumayı sağlamak için proaktif önlemler almalıdır."