CVE-2023-44487 – HTTP/2-Rapid-Reset-Angriff
17228
Created On 10/11/23 19:12 PM - Last Modified 10/07/24 16:10 PM
Question
Was ist CVE-2023-44487 - HTTP/2 Rapid Reset Attack?
Answer
In den letzten Monaten (August bis Oktober 2023) ist eine Sicherheitslücke im HTTP/2-Protokoll aufgetaucht, die als Rapid Reset Attack bekannt ist. Dieser Angriff nutzt eine bestimmte Funktion im Protokoll aus, die es einem Endpunkt ermöglicht, eine Anforderung sofort zurückzusetzen, indem er unmittelbar nach einem Anforderungsrahmen einen RST_STREAM Frame sendet.
Wie unterscheidet sich HTTP/1.1 von HTTP/2?
- In HTTP/1.1 werden die Anfragen nacheinander abgearbeitet. Der Server liest eine Anfrage, verarbeitet sie, schreibt eine Antwort und geht erst dann zur nächsten Anfrage über.
- In HTTP/2 kann der Client mehrere gleichzeitige Datenströme über eine einzige TCP-Verbindung öffnen. Jeder Stream entspricht einer HTTP-Anforderung. Theoretisch kann der Server die maximale Anzahl gleichzeitiger geöffneter Datenströme steuern, aber in der Praxis können Clients mehrere Datenströme pro Anforderung öffnen, und der Server verarbeitet diese Anforderungen parallel.
Wie funktioniert der Angriff?
Der Rapid-Reset-Angriff nutzt diese Fähigkeit aus. Der Angreifer initiiert den Angriff, indem er eine große Anzahl von Streams gleichzeitig öffnet, ähnlich wie bei einem typischen HTTP/2-Angriff. Anstatt jedoch auf jede Anfrage auf eine Antwort des Servers oder Proxys zu warten, bricht der Angreifer jede Anfrage sofort nach dem Absenden ab.Der Hauptvorteil dieses Angriffs liegt in der Möglichkeit, Streams sofort zurückzusetzen. Auf diese Weise kann eine unbegrenzte Anzahl von Anfragen gleichzeitig auf jeder Verbindung ausgeführt werden. Durch das explizite Abbrechen der Anforderungen überschreitet der Angreifer niemals den Grenzwert für die Anzahl der gleichzeitig geöffneten Datenströme. Folglich wird die Anzahl der In-Flight-Anfragen nicht mehr durch die Round-Trip-Zeit (RTT) bestimmt, sondern allein durch die verfügbare Netzwerkbandbreite.
Quelle: Google
Als Folge des HTTP/2-Rapid-Reset-Angriffs kann es zu einem Denial-of-Service-Angriff (Verbrauch von Serverressourcen) kommen. Die Angriffsmethodik ermöglicht das Abbrechen zahlreicher Streams in schneller Folge, was zu einer Ressourcenerschöpfung auf der Serverseite führt. Wichtig ist, dass die HTTP/2-Verbindung trotz des Abbruchs von Anfragen offen bleibt.Für Web-Service-Provider und Entwickler ist es von entscheidender Bedeutung, sich dieser Schwachstelle bewusst zu sein und die notwendigen Gegenmaßnahmen zu ergreifen, um ihre Systeme vor potenziellen Angriffen zu schützen.
Informationen zur Deckung
Palo Alto Networks hat am 16. Oktober 2023 UTID: 40152 und 94441 sowie ein Update für den http2-Decoder veröffentlicht. Suchen Sie in ThreatValut (https://threatvault.paloaltonetworks.com/) nach diesen Bedrohungs-IDs, um weitere Informationen zu den Signaturen zu erhalten.Nachfolgend finden Sie den Link zu unserer Produktberatung für weitere Informationen zu den Auswirkungen auf Palo Alto Networks-Produkte:
https://security.paloaltonetworks.com/CVE-2023-44487
Additional Information
Links zu unterstützenden Dokumentationen, Vorbehalten oder anderen hilfreichen Hintergrundinformationen, bei denen es sich nicht unbedingt um ein Symptom, eine Umgebung, eine Ursache oder eine Lösung handelt.
- https://cloud.google.com/blog/products/identity-security/how-it-works-the-novel-http2-rapid-reset-ddos-attack
- https://blog.cloudflare.com/technical-breakdown-http2-rapid-reset-ddos-attack/
- https://arstechnica.com/security/2023/10/how-ddosers-used-the-http-2-protocol-to-deliver-attacks-of-unprecedented-size/
- https://security.paloaltonetworks.com/CVE-2023-44487
- https://nvd.nist.gov/vuln/detail/CVE-2023-44487