這個零日漏洞為威脅行為者提供了一個重要的新工具,即他們的瑞士軍刀漏洞,可以以前所未有的規模利用和攻擊受害者。雖然這些攻擊有時很複雜且難以應對,但這些攻擊使 Cloudflare 有機會開發專用技術來減輕零日漏洞的影響。
如果您使用 Cloudflare 進行 HTTP DDoS 緩解,您將受到保護。下面,我們提供了有關此漏洞的更多信息,以及有關如何保護自己安全的資源和建議。
解構攻擊:每個 CSO 都需要了解什麼
2023 年8 月下旬,我們的Cloudflare 團隊注意到一個新的零日漏洞,該漏洞由未知威脅參與者開發,該漏洞利用標準HTTP/2 協定——這是對互聯網和所有網站的工作方式至關重要的基本協定。這種新穎的零日漏洞攻擊被稱為“快速重置”,它利用 HTTP/2 的串流取消功能,重複發送請求並立即取消該請求。
透過大規模自動化這種簡單的「請求、取消、請求、取消」模式,威脅參與者能夠創建拒絕服務並摧毀任何運行 HTTP/2 標準實現的伺服器或應用程式。此外,關於這次破紀錄的攻擊,需要注意的一個重要事項是,它涉及一個規模適中的殭屍網絡,由大約 20,000 台機器組成。Cloudflare 定期偵測比這大幾個數量級的殭屍網路——包括數十萬甚至數百萬台機器。對於一個相對較小的殭屍網路來說,輸出如此大量的請求,有可能使幾乎所有支援 HTTP/2 的伺服器或應用程式癱瘓,這凸顯了此漏洞對未受保護的網路的威脅有多大。
威脅參與者將殭屍網路與 HTTP/2 漏洞結合使用,以我們從未見過的速度放大請求。因此,我們的 Cloudflare 團隊經歷了一些間歇性的邊緣不穩定性。雖然我們的系統能夠緩解絕大多數傳入攻擊,但該流量使我們網路中的某些組件過載,從而影響了少數客戶的效能並出現間歇性4xx 和5xx 錯誤- 所有這些問題都很快得到了解決。
一旦我們成功緩解了這些問題並阻止了所有客戶的潛在攻擊,我們的團隊立即啟動了負責任的揭露流程。我們與業界同行進行了對話,了解如何共同努力,幫助推進我們的使命,並在向公眾發布此漏洞之前保護依賴我們網路的大部分網路。
我們在另一篇部落格文章中更詳細地介紹了該攻擊的技術細節:HTTP/2 快速重置:解構破紀錄的攻擊。
Cloudflare 和業界如何阻止這種攻擊?
不存在「完美披露」這樣的事情。阻止攻擊和回應新出現的事件需要組織和安全團隊以假設違規的心態生活——因為總會有另一個零日、新的不斷發展的威脅參與者群體,以及前所未見的新穎攻擊和技術。
這種「假設違反」的心態是資訊共享和確保在這種情況下網路保持安全的關鍵基礎。在 Cloudflare 經歷並緩解這些攻擊的同時,我們也與產業合作夥伴合作,以確保整個產業能夠抵禦這種攻擊。
在緩解此攻擊的過程中,我們的 Cloudflare 團隊開發並專門建立了新技術來阻止這些 DDoS 攻擊,並進一步改進我們針對此攻擊和未來其他大規模攻擊的緩解措施。這些努力顯著提高了我們的整體緩解能力和彈性。如果您使用 Cloudflare,我們相信您會受到保護。
我們的團隊也提醒正在開發修補程式的網頁伺服器軟體合作夥伴,以確保此漏洞不會被利用——請檢查他們的網站以獲取更多資訊。
披露從來都不是一勞永逸的。Cloudflare 的命脈是確保更好的互聯網,這源自於諸如此類的實例。當我們有機會與行業合作夥伴和政府合作,確保互聯網不會受到廣泛影響時,我們正在盡自己的一份力量來提高每個組織的網路彈性,無論其規模或垂直領域如何。
如欲進一步了解緩解策略和修補的後續步驟,請報名參加我們的網路研討會。
HTTP/2 快速重置和這些針對 Cloudflare 的破紀錄攻擊的起源是什麼?
Cloudflare 是最早目睹這些攻擊的公司之一,這似乎很奇怪。為什麼威脅行為者會攻擊一家擁有世界上最強大的 DDoS 攻擊防禦能力的公司?
現實情況是,Cloudflare 經常在攻擊更脆弱的目標之前就發現攻擊。威脅行為者需要先開發和測試他們的工具,然後再部署到野外。擁有破紀錄攻擊方法的威脅行為者可能會非常困難地測試和了解它們的規模和有效性,因為他們沒有基礎設施來吸收他們發起的攻擊。由於我們分享的網路效能透明度,以及他們可以從我們的公開效能圖表中收集到的攻擊測量結果,該威脅行為者很可能以我們為目標,以了解該漏洞的功能。
但這種測試以及儘早發現攻擊的能力可以幫助我們開發針對攻擊的緩解措施,從而使我們的客戶和整個行業受益。
從 CSO 到 CSO:你該做什麼?
我擔任 CSO 已有 20 多年,接收過無數此類披露和公告。但無論是Log4J、Solarwinds、EternalBlue WannaCry/NotPetya、Heartbleed或Shellshock,所有這些安全事件都有共通點。一場巨大的爆炸波及世界各地,並創造了一個機會來徹底顛覆我所領導的任何組織——無論行業或規模。
其中許多是我們可能無法控制的攻擊或漏洞。但無論這個問題是否是由我控制的事情引起的,我所領導的任何成功的計劃與那些不利於我們的計劃的區別在於,當出現像這樣的零日漏洞和漏洞時,能夠做出響應被識別。
雖然我希望我能說這次快速重置可能會有所不同,但事實並非如此。我正在致電所有CSO——無論您是否經歷了我所經歷的數十年的安全事件,或者這是您上班的第一天——現在是確保您受到保護並支持您的網絡事件響應團隊的時候了。
直到今天,我們一直對資訊進行限制,以便讓盡可能多的安全供應商有機會做出反應。然而,在某些時候,負責任的事情變成公開揭露這樣的零時差威脅。今天就是那一天。這意味著今天之後,威脅行為者將在很大程度上意識到 HTTP/2 漏洞;利用漏洞並引發防禦者和攻擊者之間的競賽將不可避免地變得微不足道——首先修補還是首先利用。組織應假設系統將經過測試,並採取主動措施來確保保護。
對我來說,這讓人想起像 Log4J 這樣的漏洞,因為每天都會出現許多變體,並將在未來幾週、幾個月和幾年內繼續發揮作用。隨著越來越多的研究人員和威脅參與者對該漏洞進行實驗,我們可能會發現具有更短利用週期的不同變體,其中包含更高級的繞過方法。
就像 Log4J 一樣,管理此類事件並不像「運行補丁,現在就完成了」那麼簡單。您需要將事件管理、修補和發展安全保護轉變為持續的流程 – 因為針對每個漏洞變體的修補程式可以降低您的風險,但並不能消除風險。
我並不是危言聳聽,但我會直接說:你必須認真看待這件事。將此視為一個完全活躍的事件,以確保您的組織不會發生任何事情。
新變革標準的建議
雖然沒有一個安全事件與下一個安全事件完全相同,但還是可以學習。公民社會組織,以下是我必須立即實施的建議。不僅在這種情況下,而且在未來幾年:
- 了解您的外部和合作夥伴網路的外部連接,以透過以下緩解措施修復任何面向互聯網的系統。
- 了解您現有的安全保護以及保護、偵測和回應攻擊所需的功能,並立即修復網路中存在的任何問題。
- 確保您的 DDoS 防護位於資料中心之外,因為如果流量到達您的資料中心,將很難緩解 DDoS 攻擊。
- 確保您擁有針對應用程式的 DDoS 保護(第 7 層)並確保您擁有 Web 應用程式防火牆。此外,作為最佳實踐,請確保您對 DNS、網路流量(第 3 層)和 API 防火牆擁有完整的 DDoS 保護
- 確保在所有面向網際網路的 Web 伺服器上部署 Web 伺服器和作業系統修補程式。此外,請確保所有自動化(例如 Terraform 建置和映像)都已完全修補,以便舊版的 Web 伺服器不會意外地透過安全映像部署到生產中。
- 作為最後的手段,請考慮關閉 HTTP/2 和 HTTP/3(也可能容易受到攻擊)以減輕威脅。這只是最後的手段,因為如果降級到 HTTP/1.1,將會出現嚴重的效能問題
- 考慮在外圍使用基於雲端的輔助 DDoS L7 提供者以提高彈性。
Cloudflare 的使命是幫助建立更好的互聯網。如果您擔心目前的 DDoS 防護狀態,我們非常樂意免費為您提供我們的 DDoS 功能和彈性,以減輕任何成功的 DDoS 攻擊嘗試。我們知道您面臨的壓力,因為我們在過去 30 天裡抵禦了這些攻擊,並使我們本已一流的系統變得更好。