| 【弱點說明】事件通告:HTTP/2 協定漏洞放大攻擊,多家業者統計最大 DDoS 攻擊流量皆創紀錄!
【影響範圍】
【細節描述】
事件描述:
Google、Cloudflare與 Amazon Web Services(AWS)本周二(10/10)分別公布了涉及 HTTP/2 協定的 CVE-2023-44487
零時差安全漏洞,原因是它們在今年的8月至10月間,全都面臨了肇因於該漏洞的分散式服務阻斷(DDoS)攻擊,且其攻擊規模對上述業者來說皆為史上最大,例如 Google 所緩解的攻擊流量達到每秒3.98億次的請求,是Google 上一個紀錄的7.5倍。
HTTP/2 標準在2015年出爐,最新的則是2022年6月頒布的 HTTP/3。不過,根據 Cloudflare 截至今年4月的統計,目前最普及的協定仍是HTTP/2,市占率超過60% 存在於 HTTP/2 中的 CVE-2023-44487 漏洞可導致快速重置攻擊,它利用 HTTP/2 中的多工串流 (Stream Multiplexing) 功能,發送大量的請求且立即取消,因而造成伺服器端的大量工作負載,卻只需要少量的攻擊成本。
各家相關統計:
Cloudflare 指出,該公司所緩解的最大攻擊流量是每秒超過2.01億次的請求,輕易便打破了今年2月每秒7,100萬次請求(requests per second,rps) 的攻擊紀錄。事實上,從今年8月迄今,Cloudflare
已緩解了逾1,100次超過1000萬rps 流量的 DDoS 攻擊,當中有184次的攻擊流量超過原先的7,100萬rps 紀錄。
Google 原本的紀錄是在去年面臨的4,600萬rps。Google 表示,這波高峰達3.98億rps 的 DDoS 攻擊持續了兩分鐘,但這兩分鐘的流量等同於維基百科 (Wikipedia) 今年整個9月的所有文章閱讀流量。
同樣在8月底遭到攻擊的 AWS 則說,Amazon CloudFront 所偵測到的不尋常 HTTP/2 請求在高峰時期達到1.55億rps,接著便持續看到類似的HTTP 洪水攻擊。
【建議措施】
具 HTTP/2 協定支援多工串流 (Stream Multiplexing) 的應用軟體或服務會受影響,建議支援 HTTP/2 的各家提供的說明進行修補 CVE-2023-44487漏洞,或可參考微軟公布了針對該漏洞的應對措施。 |