CVE-2023-44487 - HTTP/2 Rapid Reset Attack
17052
Created On 10/11/23 19:12 PM - Last Modified 10/07/24 16:10 PM
Question
什么是 CVE-2023-44487 - HTTP/2 快速重置攻击?
Answer
最近几个月(2023 年 8 月至 10 月),HTTP/2 协议中出现了一个称为快速重置攻击的安全漏洞。 此攻击利用协议中的特定功能,允许端点通过在请求帧后立即发送RST_STREAM帧来迅速重置请求。
HTTP/1.1 与 HTTP/2 有何不同?
- 在 HTTP/1.1 中,请求是一个接一个地处理。 服务器读取请求,处理请求,写入响应,然后才转到下一个请求。
- 在 HTTP/2 中,客户端可以在单个 TCP 连接上打开多个并发流。 每个流对应一个 HTTP 请求。 从理论上讲,服务器可以控制最大并发打开的流数,但在实践中,客户端可能会为每个请求打开多个流,并且服务器并行处理这些请求。
攻击是如何工作的?
快速重置攻击通过利用这种能力来运作。 攻击者通过同时打开大量流来发起攻击,这与典型的 HTTP/2 攻击非常相似。 但是,攻击者不会等待服务器或代理对每个请求的响应,而是在发送每个请求后立即快速取消每个请求。这种攻击的主要优势在于能够立即重置流。 这允许在每个连接上同时传输无限数量的请求。 通过显式取消请求,攻击者永远不会超过并发打开流的数量限制。 因此,正在进行的请求数不再由往返时间 (RTT) 决定,而仅由可用网络带宽决定。
资料来源: 谷歌
由于 HTTP/2 快速重置攻击,可能会发生拒绝服务(服务器资源消耗)。 这种攻击方法允许快速连续地取消大量流,从而导致服务器端的资源耗尽。 重要的是,尽管请求被取消,但 HTTP/2 连接仍然保持打开状态。对于 Web 服务提供商和开发人员来说,意识到此漏洞并采取必要的对策来保护其系统免受潜在攻击至关重要。
覆盖范围信息
Palo Alto Networks 于 2023 年 10 月 16 日发布了 UTID:40152 和 94441 以及 http2 解码器的更新。 在 ThreatValut (https://threatvault.paloaltonetworks.com/) 中搜索这些威胁 ID,以获取有关签名的详细信息。在下面找到我们的产品咨询链接,了解有关对 Palo Alto Networks 产品的影响的更多信息:
https://security.paloaltonetworks.com/CVE-2023-44487
Additional Information
指向支持文档、警告或其他有用的背景信息的链接,这些信息严格来说不是症状、环境、原因或解决方法。
- https://cloud.google.com/blog/products/identity-security/how-it-works-the-novel-http2-rapid-reset-ddos-attack
- https://blog.cloudflare.com/technical-breakdown-http2-rapid-reset-ddos-attack/
- https://arstechnica.com/security/2023/10/how-ddosers-used-the-http-2-protocol-to-deliver-attacks-of-unprecedented-size/
- https://security.paloaltonetworks.com/CVE-2023-44487
- https://nvd.nist.gov/vuln/detail/CVE-2023-44487