CloudflareとGoogle、AWSが注意喚起 ゼロデイ脆弱性「HTTP/2 Rapid Reset」とは？：セキュリティニュースアラート

CloudflareとGoogle、AWSは共同でゼロデイ脆弱性「HTTP/2 Rapid Reset」を発表した。これはHTTP/2のストリームキャンセル機能を悪用して極度に大規模なDDoS攻撃を引き起こすもので過去最大の攻撃が観測されている。

[後藤大地，有限会社オングス]

　Cloudflareは2023年10月10日（現地時間）、GoogleとAmazon Web Services（AWS）と共同で、HTTP/2プロトコルのゼロデイ脆弱（ぜいじゃく）性「HTTP/2 Rapid Reset」の存在を明らかにした。

　Cloudflareは既に過去数カ月間にわたって、この脆弱性を悪用したDDoS攻撃の軽減に取り組んでいる。同社によると、今回はこれまでの経験してきたどのDDoS攻撃よりも大規模で、過去最大だった攻撃の3倍に当たる2億100万リクエスト／秒を超える攻撃が観測されたという。

HTTP/2 Zero-Day Vulnerability Results in Record-Breaking DDoS Attacks（出典：CloudflareのWebサイト）

Cloudflare、Google、AWSが共同で注意喚起

　CloudflareのチームはHTTP/2 Rapid Resetを2023年8月下旬ごろに発見した。この脆弱性はHTTP/2のストリームキャンセル機能を利用してリクエストの送信とそのキャンセルを何度も繰り返すというものだ。

　「リクエスト、キャンセル、リクエスト、キャンセル」のパターンを自動化することで極度に大規模なDDoS攻撃を引き起こし、、HTTP/2を実装している任意のサーバまたはアプリケーションをダウンさせる。

　Cloudflareは既にHTTP/2 Rapid Resetに対応するための新しい技術を開発しており、業界のパートナーや政府と協力してインターネットを安全に保つための情報共有を実施した。

Cloudflareのネットワークを使用している場合は既に保護の範囲内となるが、Webサーバ側にもパッチが必要となる。

　Cloudflareは最高セキュリティ責任者（CSO）に対してすぐに実施できる対策として以下の項目を挙げている。

• トラフィックがデータセンターに到達した場合、DDoS攻撃を軽減することが困難になるため、DDoS攻撃保護がデータセンターの外部に存在していることを確認する
• アプリケーション（レイヤー7）のDDoS攻撃保護があり、Webアプリケーションファイアウォールがあることを確認する。DNS、ネットワークトラフィック（レイヤー3）、APIファイアウォールの完全なDDoS攻撃保護があることを確認する
• WebサーバとOSに最新のパッチが適用されていることを確認する
• 「Terraform」ビルドやイメージなど全ての自動化に完全にパッチが適用されていることを確認する
• 最後の手段としてはHTTP/2およびHTTP/3を無効化する選択肢も検討しておく。HTTP/1.1にダウングレードすることはパフォーマンスに重大な問題を来たすため最終手段として考えておく
• 回復のため、セカンダリークラウドベースDDoS攻撃レイヤー7プロバイダーの活用を検討する

　Cloudflareは今回の攻撃について「当社が公開しているパフォーマンスチャートから攻撃を計測できるため、脅威アクターが自分たちの開発した攻撃方法がどの程度効果を発揮するのか計測するためにCloudflareを標的とした可能性がある」とみている。