,,

"HTTP/2 快速重置"協議漏洞將困擾互聯網多年

2023-10-14 20:57:34 來源：cnBeta

Google、亞馬遜（Amazon）、微軟（Microsoft）和 Cloudflare 本周透露，它們在 8 月和 9 月針對其云基礎設施發起了大規模、創紀錄的分布式拒絕服務攻擊。DDoS 攻擊是一種典型的互聯網威脅，攻擊者試圖用垃圾流量淹沒服務，使其癱瘓，黑客一直在開發新的策略，使其規模更大或更有效。

(資料圖片僅供參考)

不過，最近的攻擊尤其值得注意，因為黑客是利用一個基礎網絡協議中的漏洞發動攻擊的。這意味著，雖然修補工作正在順利進行，但在完全杜絕這些攻擊之前，修補程序基本上需要覆蓋全球所有網絡服務器。

該漏洞被稱為"HTTP/2 快速重置"，只能用于拒絕服務，攻擊者無法遠程接管服務器或竊取數據。但是，攻擊并不一定要花哨才能造成大問題--從關鍵基礎設施到重要信息，可用性對于訪問任何數字服務都至關重要。

Google云的 Emil Kiner 和 Tim April 本周寫道："DDoS 攻擊會對受害組織造成廣泛影響，包括業務損失和關鍵任務應用程序的不可用性。從 DDoS 攻擊中恢復的時間可能遠遠超過攻擊結束的時間。"

情況的另一個方面是漏洞的來源。Rapid Reset 并不存在于某個特定的軟件中，而是存在于用于加載網頁的 HTTP/2 網絡協議的規范中。HTTP/2 由互聯網工程任務組（IETF）開發，已經存在了大約八年，是經典互聯網協議 HTTP 更快、更高效的繼承者。HTTP/2 在移動設備上的運行效果更好，使用的帶寬更少，因此被廣泛采用。IETF 目前正在開發 HTTP/3。

Cloudflare的Lucas Pardue和Julien Desgats本周寫道：由于該攻擊濫用了HTTP/2協議中的一個潛在弱點，我們認為任何實施了HTTP/2的供應商都會受到攻擊。雖然似乎有少數實施方案沒有受到 Rapid Reset 的影響，但 Pardue 和 Desgats 強調說，這個問題與"每臺現代網絡服務器"廣泛相關。

與由微軟修補的Windows漏洞或由蘋果修補的 Safari 漏洞不同，協議中的缺陷不可能由一個中央實體來修復，因為每個網站都以自己的方式實施標準。當主要的云服務和 DDoS 防御提供商為其服務創建修復程序時，就能在很大程度上保護使用其基礎設施的每個人。但運行自己網絡服務器的組織和個人需要制定自己的保護措施。

長期從事開源軟件研究的軟件供應鏈安全公司 ChainGuard 首席執行官丹-洛倫茨（Dan Lorenc）指出，這種情況是一個例子，說明開源的可用性和代碼重用的普遍性（而不是總是從頭開始構建一切）是一個優勢，因為許多網絡服務器可能已經從其他地方復制了 HTTP/2 實現，而不是重新發明輪子。如果這些項目得到維護，它們將開發出快速重置修復程序，并推廣給用戶。

不過，這些補丁的全面采用還需要數年時間，仍會有一些服務從頭開始實施自己的 HTTP/2，而其他任何地方都不會提供補丁。

Lorenc 說："需要注意的是，大型科技公司發現這個問題時，它正在被積極利用。它可以用來癱瘓服務，比如操作技術或工業控制。這太可怕了。"

雖然最近對Google、Cloudflare、微軟和亞馬遜的一連串 DDoS 攻擊因規模巨大而引起了人們的警惕，但這些公司最終還是緩解了攻擊，沒有造成持久的損失。但是，黑客通過實施攻擊，揭示了協議漏洞的存在以及如何利用該漏洞--安全界稱之為"燒毀零日"的因果關系。盡管修補過程需要時間，而且一些網絡服務器將長期處于易受攻擊的狀態，但與攻擊者沒有利用該漏洞亮出底牌相比，現在的互聯網更加安全了。

Lorenc 說："在標準中出現這樣的漏洞是不尋常的，它是一個新穎的漏洞，對于首先發現它的人來說是一個有價值的發現。他們本可以把它保存起來，甚至可能把它賣掉，賺一大筆錢。我一直很好奇為什么有人決定"燒掉"這個漏洞。"

關鍵詞：