Alert!

Rapid Reset: Angreifer nutzen Lücke im HTTP/2-Protokoll seit August 2023 aus

Eine DDoS-Sicherheitslücke mit Rekordvolumen im HTTP/2-Protokoll gefährdet unzählige Server. Erste Sicherheitspatches sind verfügbar.

134

(Bild: Anterovium/Shutterstock.com)

11.10.2023, 11:43 Uhr

Lesezeit: 2 Min.

Security

Von

Dennis Schirrmacher

Amazon, Cloudflare und Google berichten von Rekordwerten bei DDoS-Attacken. Schuld daran ist eine Schwachstelle im weitverbreiteten Netzwerkprotokoll HTTP/2. Berichten zufolge nutzen Angreifer die Lücke bereits seit August 2023 aus.

Rekord-DDoS-Attacken

In einem Bericht führt Google aus, dass sie eine DDoS-Attacke mit 398 Millionen Anfragen pro Sekunde beobachtet haben. Das Unternehmen gibt an, die Rekord-Attacke durch die Erweiterung der Netzwerk-Kapazität gebändigt zu haben.

Bei normalen HTTP/2 basierten DDoS-Attacken limitiert ein Server die maximalen Streams innerhalb einer TCP-Verbdindung auf 100 (Mitte). Die Rapid-Reset-Attacke umgeht dieses Limit, indem Angreifer Anfragen in einem Stream verschicken, den Stream resetten und die Anfrage abbrechen. Die Verbindung bleibt dabei offen. Der Server startet mit der Verarbeitung, hört dann aber aufgrund des Abbruchs auf und die Anfragen fallen nicht unter das Limit. So sind unzählige Anfragen hintereinander möglich und der Server kommt ins Schwitzen. Letztlich limitiert die Bandbreite des Serves, wie viele Anfragen möglich sind.

(Bild: Google)

Cloudflare schildert in einem Bericht, dass sie Ende August 2023 erste Rapid Reset getaufte Attacken beobachtet haben. Sie geben an, dass die DDoS-Attacke ein rund dreimal größeres Volumen als eine Attacke im Februar dieses Jahres mit über 71 Millionen Anfragen pro Sekunde hatte. Alarmierend ist ihnen zufolge, dass die Angriffe von einem vergleichsweise kleinen Botnet mit rund 20.000 kompromittierten PCs ausgingen.

Schwäche im HTTP/2-Protokoll

Die Einstufung des Bedrohungsgrads der Lücke (CVE-2023-44487) steht derzeit noch aus. Das National Institute of Standards and Technology (NIST) listet aber schon viele betroffene Softwares wie Openwall, Kubernetes und Apache Tomcat auf. Noch sind nicht alle Sicherheitsupdates erschienen. Beispielsweise Microsoft hat am Patchday im Oktober reagiert.

Als Schwachstelle nutzen Angreifer die Funktion zum Abbrechen von Streams innerhalb einer TCP-Verbindung aus. Dafür versenden sie kontinuierliche Anfragen und brechen diese mittels RST_STREAM-Frames ab, was zu einem Reset des Streams führt. Das überfordert Server und löst einen DoS-Zustand aus. Google gibt an, dass Client und Server die Stornierung eines Streams nicht koordinieren müssen. Der Client kann dies einseitig tun. So sind in einem kurzen Zeitraum besonders viele Anfragen möglich und die Attacke wurde Rapid Reset getauft (siehe Bild).

Neben dem Installieren von Sicherheitspatches sollten Admins Verbindungslogs im Auge behalten: Bei 100 Anfragen, von denen 50 Prozent verworfen werden, liegt eine Rapid-Reset-Attacke nahe. Demzufolge bietet es sich an, HTTP/2-Server so zu konfigurieren, dass sie solche Verbindungen schließen.