CloudflareとGoogle、AWSが注意喚起 ゼロデイ脆弱性「HTTP/2 Rapid Reset」とは?:セキュリティニュースアラート
CloudflareとGoogle、AWSは共同でゼロデイ脆弱性「HTTP/2 Rapid Reset」を発表した。これはHTTP/2のストリームキャンセル機能を悪用して極度に大規模なDDoS攻撃を引き起こすもので過去最大の攻撃が観測されている。
Cloudflareは2023年10月10日(現地時間)、GoogleとAmazon Web Services(AWS)と共同で、HTTP/2プロトコルのゼロデイ脆弱(ぜいじゃく)性「HTTP/2 Rapid Reset」の存在を明らかにした。
Cloudflareは既に過去数カ月間にわたって、この脆弱性を悪用したDDoS攻撃の軽減に取り組んでいる。同社によると、今回はこれまでの経験してきたどのDDoS攻撃よりも大規模で、過去最大だった攻撃の3倍に当たる2億100万リクエスト/秒を超える攻撃が観測されたという。
Cloudflare、Google、AWSが共同で注意喚起
CloudflareのチームはHTTP/2 Rapid Resetを2023年8月下旬ごろに発見した。この脆弱性はHTTP/2のストリームキャンセル機能を利用してリクエストの送信とそのキャンセルを何度も繰り返すというものだ。
「リクエスト、キャンセル、リクエスト、キャンセル」のパターンを自動化することで極度に大規模なDDoS攻撃を引き起こし、、HTTP/2を実装している任意のサーバまたはアプリケーションをダウンさせる。
Cloudflareは既にHTTP/2 Rapid Resetに対応するための新しい技術を開発しており、業界のパートナーや政府と協力してインターネットを安全に保つための情報共有を実施した。
Cloudflareのネットワークを使用している場合は既に保護の範囲内となるが、Webサーバ側にもパッチが必要となる。
Cloudflareは最高セキュリティ責任者(CSO)に対してすぐに実施できる対策として以下の項目を挙げている。
- トラフィックがデータセンターに到達した場合、DDoS攻撃を軽減することが困難になるため、DDoS攻撃保護がデータセンターの外部に存在していることを確認する
- アプリケーション(レイヤー7)のDDoS攻撃保護があり、Webアプリケーションファイアウォールがあることを確認する。DNS、ネットワークトラフィック(レイヤー3)、APIファイアウォールの完全なDDoS攻撃保護があることを確認する
- WebサーバとOSに最新のパッチが適用されていることを確認する
- 「Terraform」ビルドやイメージなど全ての自動化に完全にパッチが適用されていることを確認する
- 最後の手段としてはHTTP/2およびHTTP/3を無効化する選択肢も検討しておく。HTTP/1.1にダウングレードすることはパフォーマンスに重大な問題を来たすため最終手段として考えておく
- 回復のため、セカンダリークラウドベースDDoS攻撃レイヤー7プロバイダーの活用を検討する
Cloudflareは今回の攻撃について「当社が公開しているパフォーマンスチャートから攻撃を計測できるため、脅威アクターが自分たちの開発した攻撃方法がどの程度効果を発揮するのか計測するためにCloudflareを標的とした可能性がある」とみている。
関連記事
- 3つの事業継続リスクで待ったなし、サイバーレジリエンスが今必要なワケ
事業継続リスクに対するITの責任が大きくなっている今、注目を集めているのがサイバーレジリエンスです。ではこれは一体どのような考え方なのでしょうか。まずは企業を取り巻く事業継続リスクを解説します。 - “Go言語”がランサムウェア攻撃者にとって“食える言語”である理由
SentinelOneの研究者によると、サイバー攻撃者はWindowsやLinux、ESXiに対する攻撃のためにRustやGoのようなプログラミング言語を使用している。 - CloudflareのWebサイト保護メカニズムが悪用可能に 4つの対策事項は
Certitude ConsultingはCloudflareのWebサイト保護メカニズムを悪用することで、Cloudflareの保護機能をバイパスできると伝えた。 - なぜ被害が減らない? ランサムウェアの最新動向と企業にありがちな“2つの盲点”
なぜランサムウェアの被害が連日のように報道されるのだろうか。そこにはセキュリティ対策を怠りがちな企業によく見られる2つの盲点があった。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.