※本ブログは米国時間10月24日に公開されたA10本社ブログの抄訳を基にしています。

「HTTP/2 Rapid Reset」(CVE-2023-44487)が2023年10月に公表されました。本記事では、A10ネットワークスの脅威リサーチチームによる、本脆弱性の影響を軽減する最適な方法を記載しています。

CVE-2023-44487はHTTP/2プロトコルの脆弱性です。HTTP/1.1とは異なり、HTTP/2ではストリームの多重化と同時実行が可能であり、単一のTCPコネクション内で複数のデータストリームをより効率的に確立できます。HTTP/2プロトコルがリクエストのキャンセル(リセット)を処理する際、サーバ側のリソースを消費するのですが、攻撃者は新しいストリームを要求した直後にリセットを発行することでサーバのリソース枯渇を狙い、最終的にサービス中断を引き起こすことが可能です。例えば、一部のボットエクスプロイトは、単一のTCPコネクション内で多数のストリームを要求することが知られています。

脅威アクターは、マルウェアに感染したボットネットを利用し、独自にTCPセッションを開始できます。これらはCommand and Controlサーバ(C2s)によって高速リセット攻撃を開始するように指示されます。最近のインシデントでは、約20,000のボットネットがDDoS攻撃に参加しており、その中にはA10の脅威リサーチチームによって監視されているボットネットも含まれている可能性があります。

攻撃自体は非リフレクション攻撃かつ非ボリューム攻撃であり、そのほとんどが暗号化されています。そのため、ネットワークベースのトラフィック監視やDDoS検知システムでは監視しにくく、HTTP/2対応のサーバやプロキシの多くがこの攻撃の危険にさらされています。

推奨される緩和策

脆弱性の性質とそれを悪用する潜在的な DDoS 攻撃に対し、DDoS対策のリーダであるA10は次の緩和策を推奨します。

HTTP/2 サーバにパッチを適用:

HTTP/2対応システムを使用している組織は、CVE-2023-44487またはベンダからの勧告を参照して、ソフトウェアのパッチ適用やアップデートなどの適切な救済策をできるだけ早く講じる必要があります。

HTTP/2 対応の HTTP プロキシまたはアプリケーション配信コントローラー (ADC) を活用:

HTTP/2リクエストのレート制限だけでは、正当なリクエストの数に影響を与える場合があるため、この脆弱性を完全に修復できません。さらに、HTTP/2リクエストヘッダを正しく解析できなければ、正当なリクエストであるのか、攻撃リクエストなのか、といった識別もできません。この点では、 ADC(またはHTTPプロキシ)が有効です。ADCは送信元からの接続を確立し、バックエンドサーバに代わってHTTP/2リクエストを処理します。ADCはリクエストを解析および検証し、HEADERおよびRST_STREMフレームカウンタを監視し、コネクション上のフレームまたは同時ストリームの制限を設定するなどの対策が可能です。

IPブロックリスト:

既知のボットネットからのトラフィックをブロックするために、IPブロックリストを定期的に更新および維持することは重要です。HTTP/2攻撃者からのトラフィックをブロックすることは、その脅威を大幅に軽減します。

ネットワーク フィルタを活用:

ジオロケーションフィルタとカスタマイズフィルタにより、HTTPトラフィックの受信を制限することを推奨します。これらのフィルタは通常、悪意のある可能性のあるトラフィックを特定してブロックするのに役立ちます。

送信元ごとのレート制限:

一般的な宛先ベースのレート制限は、正当なリクエストと攻撃リクエストを区別できません。ファイアウォールやDDoS防御システムなどのインラインで動作するネットワーク セキュリティ機器に送信元によるレート制限を適用すると、単一のクライアントが過剰な数のHTTPストリームを開くことを防ぐことができ、マルウェアに感染したボットによるHTTP/2 Rapid Rest攻撃を防御できます。IPブロックリストを利用し、送信元によるレート制限を適用することをお勧めします。

他組織との連携:

脅威インテリジェンスをセキュリティコミュニティ、接続先、業界パートナと共有することが重要です。協力して取り組むことで、新たな脅威をより迅速に特定し、軽減することができます。

A10 のソリューション

A10 Thunder® ADCは、HTTP/2プロトコル VIP(または仮想サーバ)をサポートしており、HTTP/2 Rapid Reset攻撃を軽減できるフレーム制限が組み込まれています。詳細については、A10が発行したCVE-2023-44487に関するセキュリティアドバイザリを参照してください。ADC上で攻撃者のIPを特定することにより、効果的なIPブロックリストを構築します。A10 Defend Detector/Mitigator(旧Thunder TPS)は、A10脅威インテリジェンスサービスによる既知のボットネットを含むIPブロックリストを使用して送信元によるレート制限を有効にし、不要なトラフィックがHTTP/2サーバまたはADCに到達する前にドロップします。

HTTP/2 Rapid Restの脆弱性は、ネットワークセキュリティの重大な脅威です。破壊的なDDoS攻撃につながる可能性があります。攻撃者がボットネットを使ってこの脆弱性を悪用するケースが増えているため、組織はネットワークインフラとサービスを保護するために事前の対策を講じる必要があります。Thunder ADC、A10 Defend Detector/Mitigator、IPブロックリスト、A10脅威リサーチチームのサポートを組み合わせることで、この脆弱性の影響を軽減できます。新たな脅威に先んじて将来の攻撃から身を守るには、セキュリティコミュニティ内の協力が不可欠です。