Terkemuka perusahaan keamanan siber, Amazon Web Services, Cloudflare, dan Google, telah melaporkan adanya mitigasi serangan besar Penolakan Layanan Terdistribusi (DDoS) zero-day yang diberi nama’HTTP/2 Rapid Reset.’Mulai bulan Agustus, serangan ini telah melampaui semua rekor besarnya, dengan Cloudflare mengamati serangan mencapai jumlah yang mengejutkan yaitu 201 juta permintaan per detik (rps) dan Amazon melaporkan 155 juta rps.
Menurut Rekor Cloudflare, besaran serangan baru ini tiga kali lebih besar dibandingkan rekor sebelumnya pada Februari 2023, yang tercatat 71 juta rps. Menariknya, besaran ini dicapai dengan menggunakan botnet yang relatif kecil, yaitu hanya 20.000 mesin. Perusahaan ini mengidentifikasi dan menetralisir lebih dari seribu serangan DDoS’HTTP/2 Rapid Reset’yang melebihi 10 juta rps, dengan 184 serangan memecahkan rekor sebelumnya sebesar 71 juta rps.
Sekilas tentang HTTP/2 Rapid Mekanisme Serangan Reset
Serangan baru’HTTP/2 Rapid Reset’mengeksploitasi kerentanan zero-day yang diidentifikasi sebagai CVE-2023-44487. Ini memanfaatkan kelemahan dalam protokol HTTP/2 yang memfasilitasi pengiriman dan pembatalan permintaan secara terus-menerus, sehingga membebani server atau aplikasi target sehingga menyebabkan status Denial of Service (DoS).
Meskipun HTTP/2 memiliki fitur yang mengatur jumlah aliran aktif secara bersamaan untuk mencegah serangan DoS, perlindungan ini tidak cukup. Oleh karena itu, pengembang protokol memperkenalkan parameter efisien yang disebut “pembatalan permintaan”. Namun, penyerang telah menyalahgunakan fitur ini sejak akhir Agustus untuk mengirim serangkaian permintaan dan pengaturan ulang HTTP/2 (RST_Stream frame) pada server, sehingga sangat meningkatkan beban pemrosesan dan menghambat kapasitasnya untuk merespons permintaan baru yang masuk.
Strategi Mitigasi Dari Penyedia Keamanan Terkemuka
Ketiga perusahaan tersebut mengungkapkan bahwa proxy HTTP/2 atau penyeimbang beban sangat rentan terhadap string permintaan reset cepat ini. Jaringan Cloudflare mengalami tekanan yang luar biasa pada antarmuka antara proxy TLS dan mitra upstreamnya. Gangguan ini mengakibatkan peningkatan 502 laporan kesalahan di antara klien Cloudflare.
Cloudflare dimitigasi serangan ini menggunakan sistem yang dirancang untuk mengatasi serangan hiper-volumetrik yang disebut’Penjara IP’, yang diperluas hingga mencakup seluruh infrastrukturnya. Sistem ini untuk sementara”memenjarakan”IP yang melanggar, melarang mereka menggunakan HTTP/2 untuk domain Cloudflare mana pun. Amazon berhasil memitigasi lusinan serangan ini, menjaga ketersediaan layanan pelanggan.
Sebagai kesimpulan, para ahli merekomendasikan untuk meningkatkan alat perlindungan HTTP-flood untuk melawan serangan’HTTP/2 Rapid Reset’dan meningkatkan ketahanan DDoS dengan multi-mitigasi segi. Perusahaan-perusahaan tersebut telah merahasiakan ancaman zero-day selama lebih dari sebulan untuk memberikan waktu kepada vendor keamanan untuk merespons. Namun, informasi tersebut kini dapat diakses publik untuk mendorong tindakan lebih lanjut dalam komunitas keamanan.
Patch Microsoft untuk Mengurangi Reset Cepat HTTP/2
Microsoft telah mengeluarkan sebuah patch untuk menopang layanannya dari HTTP/2 Rapid Reset sebagai bagian dari pembaruan Patch Tuesday Oktober 2023 perusahaan. Microsoft telah memperbaiki 104 masalah keamanan dalam pembaruan Patch Tuesday Oktober 2023, termasuk tiga kelemahan zero-day yang secara aktif dieksploitasi oleh peretas. Di antara 104 masalah tersebut, dua belas diantaranya dinilai ‘kritis’, yang berarti masalah tersebut memungkinkan penyerang jarak jauh untuk mengeksekusi kode arbitrer pada sistem yang rentan. Selain itu, empat puluh lima masalah lainnya juga terkait dengan eksekusi kode jarak jauh, namun dengan peringkat tingkat keparahan yang lebih rendah. Microsoft telah merilis perbaikan untuk semua masalah ini dan mendesak pengguna untuk memperbarui perangkat lunak mereka sesegera mungkin.
