Amazon Web Services (AWS), Cloudflare และ Google กล่าวเมื่อวันอังคารว่า พวกเขาได้ดำเนินการจัดการเพื่อรับมือการโจมตีแบบ Distributed Denial-of-Service (DDoS) ที่ทำลายสถิติ ซึ่งใช้เทคนิคใหม่ที่เรียกว่า HTTP/2 Rapid Reset Attack ซึ่งเป็นการโจมตีในระบบ Layer 7 ซึ่งถูกตรวจพบในช่วงปลายเดือนสิงหาคม พ.ศ. 2566 บริษัทฯ ได้กล่าวในการเปิดเผยข้อมูลร่วมกัน โดยช่องโหว่นี้ได้รับ CVE คือ CVE-2023-44487 และมี CVSS Score ที่ 7.5 เต็ม 10

การโจมตีนี้พบที่ระบบคลาวด์ของ Google โดยมีจำนวน Request สูงสุดที่ 398 Request ต่อวินาที (RPS) พบที่ AWS และ Cloudflare มากกว่า 155 ล้าน Request ต่อวินาที และ 201  Request ต่อวินาที (RPS) ตามลำดับ

HTTP/2 Rapid Reset เป็นช่องโหว่ระดับ Zero-day ในโปรโตคอล HTTP/2 ที่นำไปใช้ประโยชน์ให้เกิดการโจมตี DDoS Attack ได้ โดยคุณสมบัติที่สำคัญของ HTTP/2 คือการร้องขอแบบ multiplexing requests ผ่านการเชื่อมต่อใน TCP Connection เดียว และ Client ที่ต้องการยกเลิกการเชื่อมต่อ สามารถส่ง Request RST_STREAM เพื่อขอหยุดการเชื่อมต่อใน TCP Connection ได้ ซึ่งการโจมตีแบบ Rapid Reset จะใช้ประโยชน์จากวิธีนี้เพื่อส่งและยกเลิก Request อย่างรวดเร็ว

Mark Ryland และ Tom Scholl จาก AWS กล่าวเพิ่มเติมว่า "การโจมตี HTTP/2 Rapid Reset ประกอบด้วย HTTP/2 Connection หลายรายการพร้อม Request และ Request RST_STREAM อย่างต่อเนื่องและรวดเร็ว ตัวอย่างเช่น ชุดของ Request หลายรายการจะถูกส่งและตามด้วยการ packet Reset สำหรับแต่ละ Request ที่ส่งไป โดยเมื่อ packet มาถึงระบบเป้าหมายจะทำการแยกวิเคราะห์และดำเนินการตาม Request แต่ละรายการ และทำการสร้างบันทึกสำหรับคำขอที่ถูก Reset หรือยกเลิกโดย Client เนื่องด้วยความสามารถในการ Reset แบบทันทีช่วยให้แต่ละ Connection มี Request แบบไม่จำกัดจำนวน ดังนั้นผู้โจมตีจึงสามารถส่ง HTTP/2 Request จำนวนมากที่สามารถไปยังเว็บไซต์เป้าหมายได้"

‍

Grant Bourzikas หัวหน้าเจ้าหน้าที่รักษาความปลอดภัยของ Cloudflare กล่าวอีกนัยหนึ่งว่า "การเริ่มต้น HTTP/2 นับแสนรายการและยกเลิกอย่างรวดเร็วในวงกว้างผ่านการเชื่อมต่อที่สร้างขึ้น ผู้โจมตีสามารถทำให้เว็บไซต์ออฟไลน์ได้ และสิ่งสำคัญสิ่งหนึ่งคือการโจมตีดังกล่าวสามารถเรียกใช้งานได้โดยใช้ Botnet ประมาณ 20,000 เครื่อง จากที่ Cloudflare เป็นผู้สังเกต
โดย Zero-day นี้ทำให้ผู้โจมตีได้เครื่องมือชิ้นใหม่ที่สำคัญอีกหนึ่งชิ้นเพื่อโจมตีเหยื่อในในระดับที่ไม่เคยพบเห็นมาก่อน"

ข้อมูลเพิ่มเติม
ปัจจุบัน HTTP/2 ถูกใช้โดย 35.6% ของเว็บไซต์ทั้งหมด จากข้อมูลของ W3Techs โดยเปอร์เซ็นต์ของคำขอที่ใช้ HTTP/2 อยู่ที่ 77% จากข้อมูลที่แชร์โดย Web Almanac

Google Cloud กล่าวว่าได้สังเกตเห็นว่า ปัจจุบันการโจมตีแบบ Rapid Reset หลายรูปแบบซึ่งถึงแม้จะไม่มีประสิทธิภาพเท่ากับเวอร์ชันเริ่มต้น แต่ก็มีประสิทธิภาพมากกว่าการโจมตี HTTP/2 DDoS ธรรมดา

Bourzikas กล่าวเพิ่มเติม "หลังจากวันนี้ ผู้โจมตีจะมีการใช้งานช่องโหว่ HTTP/2 เป็นส่วนใหญ่ และจะเป็นเรื่องที่หลีกเลี่ยงและเริ่มต้นการต่อสู่กันระหว่างฝ่ายป้องกันและฝ่ายโจมตี สิ่งที่ต้องทำอันดับแรกเพื่อแก้ไขและป้องกันองค์กรและตนเองนั้น องค์กรต่างๆ ควรตระหนักไว้เสมอว่าระบบต่างๆ จะได้รับการทดสอบจากช่องโหว่นี้โดยผู้โจมตีหรืออื่นๆ และควรใช้มาตรการเชิงรุก (Proactive) เพื่อให้มีมั่นใจมากขึ้นในเฝ้าระวังและระบบการป้องกันต่างๆ"

Ref : HTTP/2 Rapid Reset Zero-Day Vulnerability Exploited to Launch Record DDoS Attacks (thehackernews.com)

‍