Distributed Denial of Service (DDoS) Attacks against HTTP/2
11 oktober 2023
Samenvatting
CVE-2023-44487 (Geen score ingediend) “HTTP/2 Rapid Reset Attack”. Deze kwetsbaarheid ligt in de verzend- en annuleringsverzoeken die kunnen worden gebruikt om de doelserver/-applicatie te overweldigen, wat resulteert in een DoS-aanval. Deze functie is ingebouwd, wat betekent dat dit op dit moment niet kan worden opgelost, behalve het implementeren van een snelheidslimiet of het volledig blokkeren van het protocol. Deze aanval is mogelijk omdat een reeks HTTP-verzoeken gebruik maakt van HEADERS gevolgd door RST_STREAM en dit patroon herhaalt om een grote hoeveelheid verkeer te creëren.
Beveiligingsaanbevelingen
Microsoft raadt aan om het HTTP/2-protocol uit te schakelen. Deze HTTP DDoS-activiteit is primair gericht op laag 7 in plaats van laag 3 of 4. Microsoft heeft de laag 7-beveiligingen in onze webservice-implementaties verscherpt en services gepatcht om klanten beter te beschermen tegen de impact van deze DDoS-aanvallen. Microsoft heeft aanbevelingen en advies gegeven:
- Microsoft-services die worden gebruikt voor het hosten van webapplicaties hebben beveiligingsupdates toegepast om deze aanval te beperken.
- Microsoft raadt klanten die zelfhostende webapplicaties hebben aan om webservers/proxy’s zo snel mogelijk te patchen met behulp van Windows-updates of Open-Source Software (OSS)-fixes voor CVE-2023-44487 om hun omgevingen te beschermen. Getroffen producten waarvoor actie van de klant vereist is, zijn gepubliceerd in onze Microsoft Security Update Guide.
- Microsoft raadt aan Azure Web Application Firewall (WAF) in te schakelen op Azure Front Door of Azure Application Gateway om de beveiligingspostuur verder te verbeteren. WAF-snelheidsbeperkende regels zijn effectief in het bieden van extra bescherming tegen deze aanvallen. Bekijk de aanbevelingssectie of deze blog voor meer details.
- Microsoft raadt aan om waar mogelijk de internettoegang tot uw webapplicaties te beperken.
- Als u de juiste patches niet kunt toepassen en uw webtoepassing niet wordt beveiligd door WAF op Azure Front Door of Application Gateway, kunt u overwegen HTTP2 uit te schakelen op uw webservices. Houd er rekening mee dat het uitschakelen van het HTTP2-protocol in uw omgeving een weloverwogen beslissing moet zijn, waarbij u zorgvuldig de potentiële impact ervan op uw producten en diensten moet beoordelen, aangezien dit de prestaties en gebruikerservaring aanzienlijk kan beïnvloeden.
Ze hebben hier een gedetailleerd advies gegeven over de kwetsbaarheid.