Im Oktober 2023 trug Cloudflare maßgeblich zur Offenlegung einer Zero-Day-Schwachstelle im HTTP/2-Protokoll bei, die DDoS-Angriffe in großem Umfang gegen HTTP-Ressourcen wie Webserver und Web-App ermöglicht. Innerhalb weniger Wochen nach der Entdeckung der Sicherheitslücke nutzten Angreifer diese aus, um Hunderte von rekordverdächtigen Angriffen zu starten.
Sicherheitsverantwortliche hören ständig von „rekordverdächtigen“ und „bahnbrechenden“ Ankündigungen wie diese und sollten die meisten davon mit Skepsis betrachten. Diese Ankündigung ist jedoch aus mehreren Gründen anders und stellt eine Verschiebung in der gesamten Bedrohungslandschaft dar.
Um diesen Wandel erfolgreich zu bewältigen, müssen Sicherheitsverantwortliche wichtige Aspekte der Cloud-Migration vorantreiben und einen besseren Überblick über die Risiken in ihrer gesamten kundenseitigen Webinfrastruktur gewinnen.
In den 2010er Jahren nutzten viele der größten und wirkungsvollsten DDoS-Angriffe die Schichten 3 und 4 des OSI-Modells aus. Die Angreifer erkannten, dass sie über eine relativ zuverlässige Taktik verfügten und setzten sie wiederholt ein. Berühmte Beispiele sind der SpamHaus-Angriff 2013, der Dyn-Angriff 2016 und der Wikimedia-Angriff 2019, bei dem mehr als 1,3 Tbit/s an bösartigem Datenverkehr erzeugt wurden.
Natürlich haben sich die Organisationen im Laufe der Zeit angepasst. Der Anteil der Cloud-Nutzung nahm zu, sodass weniger eigene Netzwerkinfrastruktur zu schützen war, und es wurde in spezielle Technologie investiert, um die größten Netzwerk-DDoS-Angriffe abzuwehren.
Da sich die Geschichte wiederholt, überrascht es nicht, dass die Angreifer ihre Taktik ändern. In den letzten Jahren haben eine Reihe bemerkenswerter DDoS-Angriffe Protokolle der Anwendungsschicht ausgenutzt, was den neuen Trend offenbart. Diese Angriffe waren:
Hypervolumetrisch in der Größe
Eher auf das Traffic-Volumen ausgerichtet (Geschwindigkeit und Volumen der Anfragen über einen bestimmten Zeitraum) als auf die Traffic-Größe (Bandbreite der einzelnen Pakete, Anfragen usw.)
Basierten auf komplexeren Taktiken – wie der Ausnutzung von Zero-Day-Schwachstellen, der Wiederverwendung alter Techniken auf neue Weise und der Ausrichtung auf bestimmte Branchen und Organisationen
Die neue HTTP/2-Sicherheitslücke ist ein typisches Beispiel für diese Trends und stellt Unternehmen vor einige besondere Herausforderungen. Um zu verstehen, warum das so ist, müssen wir kurz betrachten, wie die Schwachstelle funktioniert.
Diese Zero-Day-Schwachstelle erhielt den Spitznamen „Rapid Reset“, weil sie die Stream-Abbruchfunktion von HTTP/2 ausnutzt.
Im HTTP/2-Protokoll sind Streams Sequenzen von Anfragen und Antworten zwischen einem Client und einem Server. Entscheidend ist, dass ein Antragsteller einen Stream einseitig einrichten oder abbrechen kann. Es gibt viele legitime Gründe, diese Funktion zu verwenden, aber bei „Rapid Reset“-Angriffen erzeugen Bedrohungsakteure eine Flut bösartiger Abbruchanfragen, die die üblichen Durchsatzbeschränkungen eines Zielservers umgehen. (Eine detaillierte technische Beschreibung des Exploits finden Sie hier).
Seit August 2023 beobachtete Cloudflare, dass Angreifer diese Methode sehr wirkungsvoll nutzten. In dieser Zeit übertrafen Hunderte von „Rapid Reset“-Angriffen den bislang größten von Cloudflare verzeichneten Angriff von 71 Millionen böswilligen Anfragen pro Sekunde (rps). Der größte Angriff davon übertraf diesen Rekord um das Dreifache.
Warum ist das so wichtig?
Ein Grund dafür ist die Infrastruktur der Angreifer. Für den Rekordangriff wurde ein Botnet mit 20.000 Maschinen eingesetzt – und 20.000 ist im Vergleich zu modernen Botnets relativ bescheiden. Zum Vergleich: Cloudflare entdeckt regelmäßig Botnets mit Hunderttausenden und sogar Millionen von Rechnern.
Auch die Schwachstelle selbst ist extrem weit verbreitet. Ungefähr 62 % des gesamten Internet-Traffics verwendet das HTTP/2-Protokoll, was bedeutet, dass die Mehrheit der Webanwendungen und Webserver von Natur aus anfällig ist. Erste Recherchen von Cloudflare deuten darauf hin, dass HTTP/3 wahrscheinlich ebenfalls anfällig ist, so dass HTTP/1.1 das einzige nicht betroffene Protokoll ist. Dennoch ist die Rückkehr zu HTTP/1.1 selten eine realistische Option, da ein Großteil des modernen Internets auf die von HTTP/2 und HTTP/3 gebotene, bessere Performance angewiesen ist.
Dies bedeutet, dass die Schwachstelle in den kommenden Monaten und Jahren in erheblichem Maße angepasst und ausgenutzt werden kann. Da neue Gruppen von Angreifern mit mehr Ressourcen damit experimentieren, ist es nicht unrealistisch, dass ein weiterer DDoS-Rekord aufgestellt wird.
Was also sollten Sicherheitsverantwortliche und ihre Teams tun, um sicherzustellen, dass sie geschützt sind?
Jede Sicherheitsmaßnahme beinhaltet eine erfolgreiche Mischung aus Technologie und Prozess, und die Reaktion auf diese nächste Generation von DDos-Angriffen auf Anwendungsschicht (Layer-7) ist nicht anders.
Auf technologischer Ebene sollten die Sicherheitsverantwortlichen den folgenden Schritten Priorität einräumen:
Verlagern Sie den DDos-Schutz auf Anwendungsschicht außerhalb Ihrer Rechenzentren. Selbst die robusteste Hardware für DDoS-Abwehr würde bei einem hypervolumetrischen Angriff wie dem „Rapid Reset“-Attacken wahrscheinlich einknicken.Wenn Ihr Unternehmen schon länger überlegt, die DDoS-Abwehr auf Anwendungsschicht in die Cloud zu verlagern, ist jetzt ein guter Zeitpunkt dafür.
Ziehen Sie einen sekundären cloudbasierten Anbieter für DDoS-Schutz auf Anwendungsschicht in Betracht, um Ausfallsicherheit zu gewährleisten. Auch wenn das zukünftige Angriffsvolumen nicht präzise vorhergesagt werden kann, ist dies oft die beste Vorgehensweise für besonders kritische Webanwendungen.
Stellen Sie sicher, dass relevante Webserver- und Betriebssystem-Patches auf allen internetfähigen Webservern installiert sind. Stellen Sie außerdem sicher, dass alle Automatisierungen wie Terraform-Builds und -Images vollständig gepatcht sind, damit ältere Versionen von Webservern nicht versehentlich über die sicheren Images in der Produktion eingesetzt werden.
Technologie allein wird keinen ausreichenden Schutz bieten. Ein Grund dafür ist das an sich einfache Patching, welches nur schwer so operationalisiert werden kann, dass es über einen längeren Zeitraum hinweg konsequent durchgeführt wird. Ein Beispiel für diese unangenehme Tatsache ist, dass ein Jahr nach der Veröffentlichung der oben erwähnten Log4J-Schwachstelle und der Veröffentlichung eines Patches die Mehrheit der Unternehmen immer noch teilweise gefährdet war.
Außerdem sind moderne Webanwendungen mehr denn je auf Partnerschaften und die Integration von Drittanbietern angewiesen, die ebenfalls verwundbar sein könnten. Daher ist es für Sicherheitsverantwortliche ebenso wichtig, diese zusätzlichen Schritte zu priorisieren:
Informieren Sie sich über die externe Konnektivität des Netzwerks Ihres Partners bzw. Ihrer Partner. Sind sich diese Partner und andere Dritte über die Schwachstelle im Klaren? Setzen sie die oben genannten technologischen Schritte um?
Machen Sie sich mit Ihren bestehenden Prozessen und Gewohnheiten zur Erkennung von und Reaktion auf einen Angriff und zur Behebung von Netzwerkproblemen vertraut. Der Beginn eines aktiven Angriffs ist kein guter Zeitpunkt, um herauszufinden, wie es um die Resilienz und Effizienz Ihres Teams steht. Jetzt ist der richtige Zeitpunkt, um Störfallmanagement, Patching und die Weiterentwicklung Ihres Sicherheitsschutzes zu kontinuierlichen Prozessen zu machen.
Mit diesen Prozessverbesserungen werden Unternehmen eine klügere Vorgehensweise gegen eine eventuelle zukünftige Ausnutzung des „Rapid Reset“ wählen und ihre Organisation auch auf andere Veränderungen in der breiteren DDoS-Landschaft vorbereiten.
Cloudflare war eines der ersten Unternehmen, das diese Zero Day-Schwachstelle identifiziert hat, hat ihre Weiterentwicklung kontinuierlich verfolgt und mit zahlreichen Branchenvertretern daran gearbeitet, dass Unternehmen geschützt sind. Zu diesen Bemühungen gehören die Entwicklung und Einführung neuer Technologien, um diese Angriffe zu stoppen und die Fähigkeit des Cloudflare-Netzwerks zur Abwehr weiterer massiver Angriffe weiter zu verbessern.
Diese Verbesserungen fußen auf den bestehenden Vorteilen von Cloudflare, die Unternehmen helfen sollen, sich vor den größten Angriffen zu schützen:
Über 321 Tbit/s an Netzwerkkapazität, um das größte Volumen an bösartigem Traffic zu absorbieren
Global verteilte Abwehr, sodass Ihr Kundenerlebnis nicht unter dem Backhauling des Traffics leidet
Machine Learning-Modelle, die auf einzigartig umfangreichen Bedrohungsdaten basieren, um viele Zero Day-Schwachstellen zu erkennen, bevor sie angekündigt werden
Cloudflare ist der führende Anbieter im Bereich Connectivity Cloud. Mit Cloudflare können Organisationen ihre Mitarbeitenden, Anwendungen und Netzwerke noch besser schützen, deren Performance steigern und gleichzeitig Komplexität und Kosten reduzieren. Die Connectivity Cloud von Cloudflare bietet die umfassendste einheitliche Plattform von Cloud-nativen Produkten und Entwicklertools am Markt. Damit kann jedes Unternehmen die notwendige Kontrolle erlangen, um zu arbeiten, zu entwickeln und seinen Geschäftsbetrieb zu beschleunigen.
Dieser Beitrag ist Teil einer Serie zu den neuesten Trends und Themen, die für Entscheidungsträger aus der Tech-Branche heute von Bedeutung sind.
Holen Sie sich das E-Book „Ausfallzeiten den Kampf ansagen: ein Leitfaden zur DDoS-Abwehr“, um mehr über DDoS-Abwehr zu erfahren.
Folgende Informationen werden in diesem Artikel vermittelt:
Wie die Ausnutzung der Sicherheitslücke „Rapid Reset“ zu massiven DDoS-Angriffen führt
Wie Angreifer Taktiken kombinieren – z. B. DDoS und Zero-Day –, um Organisationen anzugreifen
Was Sie machen können, um Ihr Unternehmen vor dieser Schwachstelle zu schützen
Ausfallzeiten den Kampf ansagen: Ein Leitfaden zur DDoS-Abwehr
Cyberresilienz schaffen: Die Rolle von Führungskräften bei der Gestaltung der Firmenkultur
Blogartikel: HTTP/2 Zero-Day-Sicherheitslücke führt zu rekordverdächtigen DDoS-Angriffen