HTTP/2のゼロデイ脆弱性が引き起こす史上最大規模のDDoS攻撃

Image

8月28日から29日にかけて、Amazon Web Services、Cloudflare、Google Cloudは、それぞれでDDoSフラッド攻撃を観測しました。複数のトラフィックが発生し、ぞれぞれの時間はわずか数分でした。クラウドやネットワークインフラプロバイダをターゲットとした攻撃です。同インシデントの黒幕は不明ですが、HTTP/2プロトコルの脆弱性を利用したことは明らかで、CVE-2023-44487として追跡されました。深刻度のCVSSスコアは7.5となっています(最高10)。このインシデントは「HTTP/2 ラピッドリセット(HTTP/2 Rapid Reset)」のゼロデイ攻撃と呼ばれています。

Cloudflareによると、HTTP/2は、インターネットやほとんどのWebサイトの動作のベースとなっています。HTTP/2はブラウザとWebサイトのやりとりを担い、ブラウザの画像や文字などのコンテンツを迅速に表示する『リクエスト』を可能にし、どんなに複雑なWebサイトでも、一度で完了できます。

Cloudflareによると、HTTP/2 ラピッドリセット攻撃は、一度に何十万ものHTTP/2リクエストを送信し、それをすぐにキャンセルするという手法で実行されます。Cloudflareが10月10日に発表したラピッドリセット攻撃に関する説明によると、この大規模な『リクエスト、キャンセル、リクエスト、キャンセル』を自動化する脅威のモデルは、Webサイトを圧倒するほか、HTTP/2を使用するあらゆるWebサイトをオフラインにします。

HTTP/2プロトコルはWebアプリケーションの約60%で使用されています。Cloudflareは8月がインシデントのピーク期で、毎秒2.01億回のリクエスト(rps)を受け取ったことを把握しています。また、Cloudflareは、一部の組織で緩和策を講じると、リクエストがさらに増えたことを発見しました。2022年のDDoS攻撃のピーク値は7,100万rpsで、Cloudflareが受け取った2.01億rpsは、去年の3倍となっています。

同時に、Googleは、rpsのピーク値がリソースに対する以前の攻撃の7.5倍にあたる3.98億に達したことを観測しました。AWSはAmazon CloudFrontサービスでピーク値が1.55億rpsを超えたことを検出しました。

Googleは記事の中で、規模の面では、今回の2分間の攻撃により、Wikipediaが報告した9月全体の記事閲覧数よりも多いリクエストが生成されたとしています。

ラピッドリセットは強力な武器であるだけでなく、効率的な武器でもあります。AWS、Cloudflare、Googleは他のクラウド、DDoSセキュリティ、インフラプロバイダと連携し、主にロードバランシングやその他のエッジ戦略によってラピッドリセット攻撃の影響を最小限に抑えました。ただし、それはインターネットが保護されていることを意味するものではありません。多くの組織は依然として攻撃ベクトルの影響を受けやすく、脅威を免れるためにHTTP/2をプロアクティブに修正する必要があります。

Cloudflareは、今回のインシデントはこれまでに観察された中では最大規模で、DDoS攻撃の構成が重要な進化を遂げたことを意味していると述べました。同社は小規模なボットネットが、このように大量のリクエストを出力できるなら、HTTP/2をサポートするほとんどのサーバやアプリケーションをダウンさせる可能性があり、保護されていないネットワークにとってCVE-2023-44487が大きな脅威であることを浮き彫りにしていると考えています。

これまでのところ、HTTP/2 ラピッドリセット攻撃は、黒幕のサイバー攻撃者が期待していたほど大きな影響を与えていません。ただし、DDoS攻撃は依然としてサイバー攻撃者の武器庫にある重要なツールであるため、その攻撃手法には十分な注意が必要です。

CVE-2023-44487の公開後、クラウドプロバイダとDDoSセキュリティプロバイダは、8月の最初のゼロデイ攻撃後にさまざまな緩和策を講じましたが、攻撃者は依然として同脆弱性を利用したDDoS攻撃を試みています。AWSは2日間で十数件のHTTP/2 ラピッドリセットインシデントを観察して緩和策を講じ、9月中も新しいHTTP/2 リクエストの殺到を観察しました。

Googleは、インターネットにHTTPワークロードを提供する企業または個人であれば、誰でも攻撃のリスクにさらされる可能性があるとしています。HTTP/2 プロトコルを使用して通信するサーバやプロキシ上のWebアプリケーション、サービス、APIは非常に脆弱になる可能性があります。特にHTTP/2をサポートする独自のサーバを管理または運営している組織は、できるだけ早くCVE-2023-44487にパッチを当てるべきです。


以下はDDoS脅威を防御するための実践的な推奨事項です。
  • 外部およびパートナーネットワークの外部接続を理解し、プロバイダが提供する緩和策を利用してインターネットに接続されたあらゆるシステムを修復します。
  • 既存のセキュリティ保護、保護、検出、攻撃の対応に必要な能力を理解し、ネットワーク内に存在するすべての問題を修復します。
  • アプリケーションのDDoS攻撃対策(レイヤー7)とWAFがあることを確認します。また、ベストプラクティスとして、DNS、ネットワークトラフィック(レイヤー3)、APIファイアウォールに完全なDDoS攻撃対策が施されていることを確認してください。
  • WebサーバとOSの修正パッチが、Internetに接続されたすべてのWebサーバに展開されていることを確認します。また、すべての自動化(Terraformビルド、映像など)に修正パッチが当てられていることを確認します。そうすることで、古いバージョンのWebサーバが誤って安全な映像を介して生産環境に展開することがなくなります。
  • 脅威を軽減する最終手段として、HTTP/2とHTTP/3(同じく攻撃を受けやすい)をオフにすることも検討してください。HTTP/1.1にダウングレードすると、パフォーマンスに深刻な問題が生じるため、これは最終手段としてください。
  • また、レジリエンスを高めるために、セカンダリのクラウドベースのDDoS L7プロバイダをペリメータで使用することを検討します。