Attacco “Rapid Reset” su protocollo HTTP/2

10/13/2023

PROTO: N121023

CERT Yoroi informa che emersa una notizia riguardante un attacco di DDoS provocato da una vulnerabilità su HTTP/2 e chiamato “Rapid Reset”.

HTTP/2 è la più recente versione del protocollo di rete HTTP utilizzato dal World Wide Web. Si basa su SPDY (protocollo a livello applicativo per il trasporto di contenuti Web di Google) ed è stato sviluppato dal Working Group Hypertext Transfer Protocol dell'Internet Engineering Task Force;inoltre è la prima versione ufficiale aggiornata del protocollo http, originariamente “HTTP 1.1”, il quale è standard RFC 2616 e nasce nel 1999.

Lo standard HTTP 2, nel suo funzionamento, identifica singolarmente ogni flusso tramite un ID per comprendere in modo preciso quali richieste e risposte corrispondano fra loro. Ciò, pertanto, consente di effettuare richieste multiplex e simultanee, come mostrato in figura.

*(fonte* *Black Ethical Hacking) flussi di richieste http standard /1.1 e /2*

Questo meccanismo serve per quando si visualizzano alcuni tipi di pagine web e si prevede una grande quantità di richieste di questo tipo. Questo può anche includere alcuni reset se l'utente sta scorrendo rapidamente una pagina per accelerare il rendering delle immagini, ad esempio. L'altro fattore aggravante è che esiste un limite rigido alla quantità di connessioni simultanee che i server HTTP/2 possono supportare.

Tuttavia, questo nuovo meccanismo è il luogo in cui risiede la vulnerabilità identificata dall’ID CVE- 2023-44487, "denial of service”. Attaccanti non identificati hanno scoperto che, creando grandi quantità di richieste e ripristini in un breve periodo di tempo, possono consumare preziose risorse sui server in comunicazione con i client tramite protocollo HTTP / 2, con conseguente negazione del servizio.

*(fonte* *Black Ethical Hacking) flussi di richieste http nell’attacco DDoS*

Cloudflare, insieme a Google e Amazon AWS, ha rivelato l'esistenza di una nuova vulnerabilità zero-day sfruttata attivamente in uno specifico attacco, denominato “ HTTP/ 2 Rapid Reset ”.

Il team di CloudFlare sottolinea che da Agosto 2023 ha rilevato sfruttamenti in the wild di tale falla, riscontrando una certa instabilità nei sistemi che anche nel caso di loro clienti ha provocato errori HTTP di tipo 4xx e 5xx.

Parlando di numeri di portata degli attacchi sfruttanti la vulnerabilità in oggetto, Amazon ha registrato un DDoS a una velocità di 155 milioni di richieste al secondo, Cloudflare a 201 milioni di rps, mentre Google ha resistito agli attacchi a una velocità record di 398 milioni di rps.

Diversi Vendor sul mercato si sono già mossi per creare patch sicure o mitigazioni per tale vulnerabilità:

CloudFlare:
- avere la protezione DDoS per le applicazioni (Livello 7) e assicurarsi di avere i firewall per applicazioni Web. Inoltre, come best practice, assicurarsi di avere una protezione DDoS completa per DNS, Network Traffic (Layer 3) e API FirewallAssicurarsi che le patch del server Web e del sistema operativo siano distribuite su tutti i server Web rivolti a Internet.
- Come ultima risorsa, considera di disattivare HTTP / 2 e HTTP / 3 per mitigare la minaccia.
CISA:
- L'agenzia statunitense per la sicurezza informatica CISA ha pubblicato un avviso per mettere in guardia le organizzazioni dalla minaccia rappresentata da HTTP/2 Rapid Reset, fornendo link a varie risorse utili, tra cui la propria guida per mitigare gli attacchi DDoS.
Microsoft:
- Microsoft ha pubblicato un avviso per informare i clienti di essere a conoscenza dell'attacco HTTP/2 Rapid Reset e ha consigliato agli utenti di installare gli aggiornamenti del server web disponibili fornendo inoltre soluzioni che prevedono la disabilitazione del protocollo HTTP/2 tramite l'Editor del Registro di sistema e la limitazione delle applicazioni a HTTP1.1

F5:
- F5 ha dichiarato che la vulnerabilità consente a un aggressore remoto non autenticato di causare un aumento dell'utilizzo della CPU che può portare a una condizione DoS sui sistemi BIG-IP. L'advisory dell'azienda contiene un elenco dei prodotti interessati e delle mitigazioni.
Netty:
- Gli sviluppatori di Netty, un framework progettato per lo sviluppo di applicazioni di rete come server e client di protocollo, hanno annunciato il rilascio della versione 4.1.100.Final, che corregge il vettore di attacco HTTP/2 DDoS.
Apache:
- Gli sviluppatori di Apache Tomcat hanno confermato che l'implementazione HTTP/2 di Tomcat è vulnerabile all'attacco Rapid Reset. Apache Tomcat versione 10.1.14 corregge la CVE-2023-44487.
Swift:
- Swift, il linguaggio di programmazione per le applicazioni Apple, ha informato gli utenti che se eseguono un server HTTP/2 accessibile pubblicamente utilizzando "swift-nio-http2" devono immediatamente aggiornare alla versione 1.28.0.
Distribuzioni Linux:
- Anche distribuzioni Linux come Red Hat, Ubuntu e Debian hanno pubblicato avvisi per la CVE-2023-44487.

HTTP / 2 è ampiamente adottato nell’Internet, di fatto è utilizzato dal 35,6% di tutti i siti Web secondo W3Techs e nel 77% delle richieste http. Ciò rende la superficie di attacco di livello globale e la gravità critica, seppur la CVE stessa risulti con score di 7.5 su 10.

I servizi SaaS, i siti di e-commerce e i servizi critici di informazioni online sono quelli che potrebbero subire l'impatto maggiore. Per molte organizzazioni, la disponibilità dei servizi si traduce direttamente in ricavi e la negazione di tale disponibilità rappresenta un colpo diretto al fatturato. Chiunque abbia come core business la disponibilità di servizi online potrebbe risentirne. Le organizzazioni più colpite saranno quelle che non dispongono di una protezione matura contro gli attacchi denial of service.

Pertanto, CERT Yoroi consiglia di eseguire il patch o le mitigazioni secondo le linee guida dei vendor che hanno gia rilasciato aggiornamenti di sicurezza.

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi cyber security Index

Cookie	Duration	Description
_GRECAPTCHA	5 months 27 days	This cookie is set by the Google recaptcha service to identify bots to protect the website against malicious spam attacks.
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
pll_language	1 year	The pll _language cookie is used by Polylang to remember the language selected by the user when returning to the website, and also to get the language information when not available in another way.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Duration	Description
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt.innertube::nextId	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.
yt.innertube::requests	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.

Cookie	Duration	Description
_gat_gtag_UA_209986505_1	1 minute	Set by Google to distinguish users.
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.

Attacco “Rapid Reset” su protocollo HTTP/2

10/13/2023

Riferimenti Esterni

Subscribe to our early warning system