Schwachstellen
Steigende Gefahr durch HTTP/2 basierte DDoS-Attacken
Aktuelles Cyberrisiko: Schwachstelle in HTTP/2
Von Lisa Fröhlich, Unternehmenssprecherin beim Cybersicherheitsanbieter Link11
Immer wieder finden Cyberkriminelle noch unbekannte Sicherheitslücken in Software, Betriebssystemen oder Protokollen, die sie für ihre Zwecke missbrauchen. Eine solche Lücke, auch Zero-Day-Schwachstelle genannt, wurde kürzlich im HTTP/2-Protokoll entdeckt. Angreifer konnten diese bereits mehrfach für DDoS-Angriffe in erheblichem Ausmaß nutzen. Was verbirgt sich hinter der Bedrohung? Und wie können sich Unternehmen schützen?
Lücke in HTTP/2-Protokoll führt zu Rekordwerten bei DDoS-Attacken
Zero-Day-Schwachstellen sind Sicherheitslücken, die von Entwicklern oder Anbieter noch nicht identifiziert und behoben wurden. Regelmäßig nutzen Kriminelle diese Einfallstore, um ihre Cyberattacken erfolgreich umzusetzen. Häufig handelt es sich um Distributed-Denial-of-Service (DDoS)-Angriffe, welche durch Überflutung mit schädlichem Traffic zu massiven Beeinträchtigungen oder kompletten Ausfällen des Zielsystems führen. Hierdurch können erhebliche finanzielle und Reputationsschäden entstehen. Aus diesem Grund existieren auch die sogenannten Bug-Bounty-Programme, bei denen spezialisierte Anbieter wie Zerodium für identifizierte Schwachstellen bis zu 2,5 Millionen US-Dollar Belohnung zahlen (Quelle) .
2023 entdeckten Forscher und Anbieter (Google, Amazon und Cloudflare) eine wohl besonders schwerwiegende Zero-Day-Schwachstelle, die mit einem Angriff namens „Rapid Reset“ (NIST-Nummer: CVE-2023-44487) von August 2023 bis Oktober 2023 mehrfach aktiv ausgenutzt wurde. Die Sicherheitslücke betrifft das HTTP/2-Protokoll und hat rekordverdächtige DDoS-Attacken ermöglicht. Eines der Ziele war Google höchstselbst. Nach eigenen Angaben des Anbieters erreichte der Angriff eine beeindruckende Rate von 398 Millionen Anfragen pro Sekunde (Quelle) – die größte DDoS-Attacke aller Zeiten. Google selbst stellt folgenden Vergleich an, um das Ausmaß zu verdeutlichen: In nur zwei Minuten erhielt die Google Cloud mehr Anfragen pro Sekunde als Wikipedia im gesamten Monat September 2023. Dem Unternehmen gelang es dennoch, den Angriff abzuwehren.
Rapid Reset-Angriff nutzt Multiplexing-Funktion von HTTP/2
HTTP/2 löst mehrere Probleme des Vorgängers HTTP/1. Vor allen Dingen ist das neue Internet-Protokoll weitaus effizienter und schneller. Ermöglicht wurde dies unter anderem durch Multiplexfähigkeit: Während bei HTTP/1 auf jede Anfrage jeweils eine Serverantwort folgt, können bei HTTP/2 in nur einer Verbindung mehrere Anfragen und Dateien gleichzeitig übermittelt werden. Möchte der Client die Anfrage abbrechen, kann er ein sogenanntes RST_STREAM senden. Dies stoppt den Stream, die Verbindung bleibt aber weiterhin aktiv. Weitere laufende Anfragen und Antworten werden dadurch nicht beeinträchtigt.
Wie der Name bereits andeutet, wird der zuvor skizzierte Vorgang bei einer Rapid Reset-Attacke automatisiert. Das heißt: In schneller Folge werden Anfragen an einen Server gesendet und sofort wieder abgebrochen. Es entstehen immer mehr aktive Streams pro Verbindung – oft ist deren Anzahl serverseitig nicht begrenzt. Die Folge ist ein DDoS-Angriff, der Server und Anwendungen überlasten kann.
So schützen sich Unternehmen
Gefährlich ist die HTTP/2-Schwachstelle besonders deshalb, weil selbst mit vergleichsweise kleinen Botnetzen ein DDoS-Angriff mit großem Ausmaß realisiert werden kann. Für Netzwerke ohne angemessene Schutzmaßnahmen stellt dies eine erhebliche Bedrohung dar. Doch auch abseits von „Rapid Reset“ darf das Gefahrenpotenzial für Zero-Day-Angriffe keinesfalls unterschätzt werden: Alleine für das erste Quartal 2023 hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) über 1.100 kritische Schwachstellen gemeldet (Quelle ). Und mit jeder neuen Schwachstelle wächst der Druck auf IT-Teams weiter.
Eine wichtige Grundlage der Cybersicherheit ist die schnelle Installation von Patches. Bei Zero-Day-Angriffen kommt diese Maßnahme jedoch naturgemäß zu spät – war die Sicherheitslücke bis zum „Tag null“ doch vollkommen unbekannt. Dennoch gibt es Möglichkeiten für Unternehmen, sich vor Zero-Day-DDoS-Angriffen zu schützen. Hierzu zählt zunächst eine gute Notfallvorbereitung, eine kontinuierliche Sensibilisierung der Mitarbeiter sowie eine regelmäßige Überprüfung der Sicherheitsmaßnahmen. Empfehlenswert sind zudem folgende proaktive Maßnahmen:
- Implementierung leistungsstarker Überwachungssysteme, die verdächtigen Traffic aufgrund bestimmter Muster frühzeitig erkennen
- Einsatz von DDoS-Schutzlösungen, welche schädlichen und legitimen Verkehr voneinander trennen
- Content Delivery Network (CDN) und/oder Load Balancing nutzen, um den Datenverkehr zu verteilen und die Auswirkung von DDoS-Attacken zu minimieren
Fazit: Zero-Day-Schwachstellen ernstnehmen
Insgesamt zeigt das Beispiel „Rapid Reset“ sehr gut, wie bereits kleine Sicherheitslücken die Türen für DDoS-Angriffe mit erheblichen Folgen öffnen können. Unternehmen sind daher gut beraten, in die Überwachung und Härtung ihrer Server sowie in einen leistungsfähigen DDoS-Schutz zu investieren. Speziell im Hinblick auf die HTTP2-Schwachstelle ist es bedeutsam, dass die Schutzlösung eine Begrenzung von gleichzeitigen HTTP/2-Streams unterstützt.