10/13/2023

PROTO: N121023

CERT Yoroi informa che emersa una notizia riguardante un attacco di DDoS provocato da una vulnerabilità su HTTP/2 e chiamato “Rapid Reset”.

HTTP/2 è la più recente versione del protocollo di rete HTTP utilizzato dal World Wide Web. Si basa su SPDY (protocollo a livello applicativo per il trasporto di contenuti Web di Google) ed è stato sviluppato dal Working Group Hypertext Transfer Protocol dell'Internet Engineering Task Force;inoltre è la prima versione ufficiale aggiornata del protocollo http, originariamente “HTTP 1.1”, il quale è standard RFC 2616 e nasce nel 1999.

Lo standard HTTP 2, nel suo funzionamento, identifica singolarmente ogni flusso tramite un ID per comprendere in modo preciso quali richieste e risposte corrispondano fra loro. Ciò, pertanto, consente di effettuare richieste multiplex e simultanee, come mostrato in figura.

Questo meccanismo serve per quando si visualizzano alcuni tipi di pagine web e si prevede una grande quantità di richieste di questo tipo. Questo può anche includere alcuni reset se l'utente sta scorrendo rapidamente una pagina per accelerare il rendering delle immagini, ad esempio. L'altro fattore aggravante è che esiste un limite rigido alla quantità di connessioni simultanee che i server HTTP/2 possono supportare.

Tuttavia, questo nuovo meccanismo è il luogo in cui risiede la vulnerabilità identificata dall’ID CVE- 2023-44487, "denial of service”. Attaccanti non identificati hanno scoperto che, creando grandi quantità di richieste e ripristini in un breve periodo di tempo, possono consumare preziose risorse sui server in comunicazione con i client tramite protocollo HTTP / 2, con conseguente negazione del servizio.

Cloudflare, insieme a Google e Amazon AWS, ha rivelato l'esistenza di una nuova vulnerabilità zero-day sfruttata attivamente in uno specifico attacco, denominato “ HTTP/ 2 Rapid Reset ”.

Il team di CloudFlare sottolinea che da Agosto 2023 ha rilevato sfruttamenti in the wild di tale falla, riscontrando una certa instabilità nei sistemi che anche nel caso di loro clienti ha provocato errori HTTP di tipo 4xx e 5xx.

Parlando di numeri di portata degli attacchi sfruttanti la vulnerabilità in oggetto, Amazon ha registrato un DDoS a una velocità di 155 milioni di richieste al secondo, Cloudflare a 201 milioni di rps, mentre Google ha resistito agli attacchi a una velocità record di 398 milioni di rps.

Diversi Vendor sul mercato si sono già mossi per creare patch sicure o mitigazioni per tale vulnerabilità:

• CloudFlare:
  • avere la protezione DDoS per le applicazioni (Livello 7) e assicurarsi di avere i firewall per applicazioni Web. Inoltre, come best practice, assicurarsi di avere una protezione DDoS completa per DNS, Network Traffic (Layer 3) e API FirewallAssicurarsi che le patch del server Web e del sistema operativo siano distribuite su tutti i server Web rivolti a Internet.
  • Come ultima risorsa, considera di disattivare HTTP / 2 e HTTP / 3 per mitigare la minaccia. 
• CISA:
  • L'agenzia statunitense per la sicurezza informatica CISA ha pubblicato un avviso per mettere in guardia le organizzazioni dalla minaccia rappresentata da HTTP/2 Rapid Reset, fornendo link a varie risorse utili, tra cui la propria guida per mitigare gli attacchi DDoS.
• Microsoft:
  • Microsoft ha pubblicato un avviso per informare i clienti di essere a conoscenza dell'attacco HTTP/2 Rapid Reset e ha consigliato agli utenti di installare gli aggiornamenti del server web disponibili fornendo inoltre soluzioni che prevedono la disabilitazione del protocollo HTTP/2 tramite l'Editor del Registro di sistema e la limitazione delle applicazioni a HTTP1.1

• F5:
  • F5 ha dichiarato che la vulnerabilità consente a un aggressore remoto non autenticato di causare un aumento dell'utilizzo della CPU che può portare a una condizione DoS sui sistemi BIG-IP. L'advisory dell'azienda contiene un elenco dei prodotti interessati e delle mitigazioni.
• Netty:
  • Gli sviluppatori di Netty, un framework progettato per lo sviluppo di applicazioni di rete come server e client di protocollo, hanno annunciato il rilascio della versione 4.1.100.Final, che corregge il vettore di attacco HTTP/2 DDoS.
• Apache:
  • Gli sviluppatori di Apache Tomcat hanno confermato che l'implementazione HTTP/2 di Tomcat è vulnerabile all'attacco Rapid Reset. Apache Tomcat versione 10.1.14 corregge la CVE-2023-44487.
• Swift:
  • Swift, il linguaggio di programmazione per le applicazioni Apple, ha informato gli utenti che se eseguono un server HTTP/2 accessibile pubblicamente utilizzando "swift-nio-http2" devono immediatamente aggiornare alla versione 1.28.0.
• Distribuzioni Linux:
  • Anche distribuzioni Linux come Red Hat, Ubuntu e Debian hanno pubblicato avvisi per la CVE-2023-44487.

HTTP / 2 è ampiamente adottato nell’Internet, di fatto è utilizzato dal 35,6% di tutti i siti Web secondo W3Techs e nel 77% delle richieste http. Ciò rende la superficie di attacco di livello globale e la gravità critica, seppur la CVE stessa risulti con score di 7.5 su 10.

I servizi SaaS, i siti di e-commerce e i servizi critici di informazioni online sono quelli che potrebbero subire l'impatto maggiore. Per molte organizzazioni, la disponibilità dei servizi si traduce direttamente in ricavi e la negazione di tale disponibilità rappresenta un colpo diretto al fatturato. Chiunque abbia come core business la disponibilità di servizi online potrebbe risentirne. Le organizzazioni più colpite saranno quelle che non dispongono di una protezione matura contro gli attacchi denial of service.

Pertanto, CERT Yoroi consiglia di eseguire il patch o le mitigazioni secondo le linee guida dei vendor che hanno gia rilasciato aggiornamenti di sicurezza.

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi cyber security Index

Riferimenti Esterni

• https://blog.cloudflare.com/zero-day-rapid-reset-http2-record-breaking-ddos-attack/
• https://www.computable.nl/artikel/nieuws/7564205/250449/cloudflare-helpt-zero-day-kwetsbaarheid-http-2-rapid-reset-te-ontdekken.html
• https://www.helpnetsecurity.com/2023/10/10/cve-2023-44487-http-2-rapid-reset/
• https://channeldailynews.com/news/warning-to-website-admins-http-2-zero-day-causes-massive-ddos-attacks-patch-now/83427
• https://www.securityweek.com/organizations-respond-to-http-2-zero-day-exploited-for-ddos-attacks/
• https://www.blackhatethicalhacking.com/news/massive-ddos-attacks-exploiting-http-2-rapid-reset-zero-day-vulnerability/?utm_source=rss&utm_medium=rss&utm_campaign=massive-ddos-attacks-exploiting-http-2-rapid-reset-zero-day-vulnerability
• https://gbhackers.com/http-2-rapid-reset-zero-day-flaw/