ช่องโหว่ Rapid Reset ใน HTTP/2 เปิดทางการยิง DDoS ขนานใหญ่ กูเกิลโดนยิง 398 ล้านครั้งต่อวินาที

by lew
11 October 2023 - 01:48

ผู้ให้บริการคลาวด์รายใหญ่นัดกันเปิดเผยข้อมูลช่องโหว่ DDoS ใน HTTP/2 CVE-2023-44487 เรียกชื่อว่า Rapid Reset อาศัยฟีเจอร์ stream ใน HTTP/2 ที่เปิดทางให้ไคลเอนต์สามารถขอเปิดสตรีมใหม่แล้วยกเลิกได้อย่างรวดเร็ว ทำให้ botnet ขนาดไม่ใหญ่มากก็สามารถสร้างรีเควสจำนวนมหาศาล

ตอนนี้เว็บเซิร์ฟเวอร์ต่างๆ ก็เริ่มออกแพตช์ออกมาแล้ว เช่น nginx นั้นเพิ่มเงื่อนไขจำนวนสตรีมที่เปิดใหม่ ในแต่ละรอบการทำงานต้องไม่เกินสองเท่าของจำนวนสตรีมที่เปิดพร้อมกันได้สูงสุด และหากไคลเอนต์มีพฤติกรรมเปิดปิดสตรีมทันทีก็จะล็อกจำนวนเช่นกัน เว็บเซิร์ฟเวอร์อื่นๆ ตอนนี้ก็ทยอยออกแพตช์กันอย่างต่อเนื่อง เช่น envoy, Go 1.21.3, Caddy 2.7.5

ช่องโหว่นี้เปิดทางให้กลุ่ม botnet ขนาดใหญ่โจมตีได้รุนแรงขึ้นมาก กูเกิลพบการโจมตีขนาด 398 ล้านรีเควสต่อวินาที ใหญ่กว่าที่เคยพบเมื่อปีที่แล้ว 7.5 เท่า และการโจมตีใหญ่ๆ โดยรวมก็เพิ่มขึ้นมาก

ที่มา - Cloudflare, Google

Blognone Jobs Premium