Attaques DDoS records : la technique « HTTP/2 Rapid Reset » exploite une faille zero-day
Plusieurs géants du web américains, à savoir Amazon Web Services, Cloudflare et Google ont pris des mesures pour atténuer des attaques par déni de service distribué (DDoS) monstrueuses basées sur une nouvelle technique surnommée HTTP/2 Rapid Reset.
Pour réaliser ces attaques DDoS de niveau 7 (selon le modèle OSI, à savoir la couche applicative) qui ont atteint des niveaux records, les cybercriminels ont exploité une faille de sécurité zero-day présente dans le protocole HTTP/2 (HTTP version 2). Associée à la référence CVE-2023-44487 et un score CVSS de 7.5 sur 10, cette faille de sécurité est idéale pour mener des attaques DDoS.
Baptisée HTTP/2 Rapid Reset, cette technique d'attaque exploite l'une des particularités de HTTP/2 : sa capacité à permettre le multiplexage de requêtes au sein d'une connexion TCP unique. Pour cela, les attaquants établissent un ensemble de connexions HTTP/2 au sein desquelles ils envoient des requêtes immédiatement suivies de reset (trame RST_STREAM), ce qui permet de saturer le serveur sans atteindre le seuil de flux simultanés. Le serveur ne peut que subir le reset puisque c'est en quelque sorte une décision unilatérale du client.
Dans le rapport d'AWS publié par Tom Scholl et Mark Ryland, nous pouvons lire : "Les attaques HTTP/2 Rapid Reset consistent en de multiples connexions HTTP/2 avec des demandes et des réinitialisations en succession rapide. Par exemple, une série de demandes pour plusieurs flux sera transmise, suivie d'une réinitialisation pour chacune de ces demandes. Le système ciblé analysera et traitera chaque demande, générant des logs pour une demande qui est ensuite réinitialisée, ou annulée, par un client."
Le schéma ci-dessous illustre très bien cette technique :
Les attaques DDoS HTTP/2 Rapid Reset en quelques chiffres
Google, AWS et Cloudflare ont révélé la puissance des attaques DDoS HTTP/2 Rapid Reset qu'ils ont subi. Voici les chiffres communiqués :
- Google : 398 millions de requêtes par seconde (nouveau record !)
- Cloudflare : 201 millions de requêtes par seconde
- Amazon : 155 millions de requêtes par seconde
Au-delà de la puissance de ces attaques, ce qui surprend, c'est le faible nombre de machines nécessaires ! Cloudflare indique que l'attaque DDoS avec 201 millions de requêtes par seconde a impliqué un petit botnet de 20 000 machines. Effectivement, c'est peu quand on sait qu'il existe des botnets avec plusieurs centaines de milliers ou millions de machines zombies...!
Ces attaques sont orchestrées depuis plusieurs mois, et cela continue aujourd'hui, comme le précise Google : "La dernière vague d'attaques a débuté fin août et se poursuit encore aujourd'hui, ciblant les principaux fournisseurs d'infrastructures, notamment les services Google, l'infrastructure Google Cloud et nos clients."
D'ailleurs, Cloudflare précise que depuis fin août son infrastructure a atténué environ un millier d'attaques DDoS basées sur la technique HTTP/2 Rapid Reset, dont 184 attaques qui ont dépassé son précédent record (71 millions de requêtes par seconde).
Comment se protéger ?
Il faut s'attendre à ce que des mises à jour soient publiées par les mainteneurs des projets open source et les éditeurs de produits commerciaux afin que l'on puisse se protéger de la vulnérabilité CVE-2023-44487 présente dans le protocole HTTP/2.
Dans son rapport, Google précise : "Si vous gérez ou exploitez votre propre serveur compatible HTTP/2 (open source ou commercial), vous devez immédiatement appliquer un correctif du fournisseur concerné lorsqu'il est disponible."
