En tête Les sociétés de cybersécurité, Amazon Web Services, Cloudflare et Google, ont signalé avoir atténué une attaque majeure de déni de service distribué (DDoS) Zero Day nommée « HTTP/2 Rapid Reset ». Depuis le mois d’août, cette attaque a dépassé tous les records en termes d’ampleur, Cloudflare observant des attaques atteignant un nombre stupéfiant de 201 millions de requêtes par seconde (rps) et Amazon signalant 155 millions de rps.
Selon Records de Cloudflare, la nouvelle ampleur de l’attaque est trois fois plus grande que son précédent record de février 2023, qui a enregistré 71 millions de rps. Il est intéressant de noter que cette ampleur a été obtenue en utilisant un botnet relativement mineur de seulement 20 000 machines. La société a identifié et neutralisé plus d’un millier d’attaques DDoS « HTTP/2 Rapid Reset » dépassant les 10 millions de rps, dont 184 ont battu le précédent record de 71 millions de rps.
Un aperçu du HTTP/2 Rapid Mécanisme d’attaque de réinitialisation
La nouvelle attaque « HTTP/2 Rapid Reset » exploite une vulnérabilité Zero Day identifiée comme CVE-2023-44487. Il exploite une faille dans le protocole HTTP/2 qui facilite l’envoi et l’annulation continus des requêtes, submergeant ainsi le serveur ou l’application cible pour induire un état de déni de service (DoS).
Bien que HTTP/2 dispose d’une fonctionnalité qui régule le nombre de flux actifs simultanément pour empêcher les attaques DoS, cette protection n’est pas suffisante. Les développeurs du protocole ont donc introduit un paramètre efficace appelé « annulation de demande ». Cependant, les attaquants abusent de cette fonctionnalité depuis fin août pour envoyer une série de requêtes HTTP/2 et de réinitialisations (trames RST_Stream) sur un serveur, augmentant considérablement sa charge de traitement et entravant sa capacité à répondre aux nouvelles demandes entrantes.
Stratégies d’atténuation des principaux fournisseurs de sécurité
Les trois sociétés ont révélé que les proxys HTTP/2 ou les équilibreurs de charge sont particulièrement vulnérables à ces chaînes de requêtes de réinitialisation rapide. Le réseau de Cloudflare a subi une pression énorme au niveau de l’interface entre le proxy TLS et son homologue en amont. Cette perturbation a entraîné une augmentation de 502 rapports d’erreurs parmi les clients de Cloudflare.
Cloudflare atténué Ces attaques utilisent un système conçu pour lutter contre les attaques hyper-volumétriques appelé « IP Jail », qui a été étendu pour couvrir l’ensemble de son infrastructure. Ce système « emprisonne » temporairement les adresses IP incriminées, leur interdisant d’utiliser HTTP/2 pour tout domaine Cloudflare. Amazon a réussi à atténuer des dizaines de ces attaques, en maintenant la disponibilité des services clients.
En conclusion, les experts recommandent d’augmenter les outils de protection contre les inondations HTTP pour contrer les attaques « HTTP/2 Rapid Reset » et d’améliorer la résilience DDoS avec plusieurs atténuations à facettes. Les entreprises avaient gardé secrète la menace du jour zéro pendant plus d’un mois pour donner aux fournisseurs de sécurité le temps de réagir. Cependant, les informations sont désormais publiques pour inciter la communauté de la sécurité à prendre des mesures supplémentaires.
Le correctif de Microsoft pour atténuer la réinitialisation rapide HTTP/2
Microsoft a déjà publié un correctif pour renforcer ses services à partir de HTTP/2 Rapid Reset dans le cadre des mises à jour du Patch Tuesday d’octobre 2023 de la société. Microsoft a corrigé 104 problèmes de sécurité dans sa mise à jour du Patch Tuesday d’octobre 2023, dont trois failles zero-day qui étaient activement exploitées par les pirates. Parmi les 104 problèmes, douze ont été classés comme « critiques », ce qui signifie qu’ils pourraient permettre à des attaquants distants d’exécuter du code arbitraire sur des systèmes vulnérables. De plus, quarante-cinq autres problèmes étaient également liés à l’exécution de code à distance, mais avec des niveaux de gravité inférieurs. Microsoft a publié des correctifs pour tous ces problèmes et a exhorté les utilisateurs à mettre à jour leur logiciel dès que possible.
