「HTTP/2 Fast Reset」プロトコルの脆弱性はインターネットを何年も悩ませることになる

Google、Amazon、Microsoft、Cloudflareは今週、8月と9月に自社のクラウドインフラに対して記録的な大規模な分散型サービス妨害攻撃を開始したことを明らかにした。 DDoS 攻撃は、攻撃者がジャンク トラフィックでサービスを圧倒してサービスを停止させようとする古典的なインターネットの脅威であり、ハッカーはサービスをより大規模化し、より効果的にするための新しい戦術を常に開発しています。

ただし、ハッカーが基本的なネットワーク プロトコルの脆弱性を悪用したため、今回の攻撃は特に注目に値します。つまり、パッチ適用の取り組みは順調に進んでいますが、これらの攻撃を完全に根絶するには、世界中のほぼすべてのネットワーク サーバーにパッチを適用する必要があります。

「HTTP/2 高速リセット」として知られるこの脆弱性は、サービスを拒否する目的でのみ使用でき、攻撃者がリモートからサーバーを乗っ取ったり、データを盗んだりすることはできません。しかし、大きな問題を引き起こすために攻撃が派手である必要はありません。重要なインフラストラクチャから重要な情報に至るまで、あらゆるデジタル サービスにアクセスするには可用性が不可欠です。

Google CloudのEmil Kiner氏とTim April氏は今週、「DDoS攻撃は、事業損失やミッションクリティカルなアプリケーションの利用不能など、被害組織に広範な影響を与える可能性がある。DDoS攻撃から回復するまでの時間は、攻撃が終了する時間をはるかに超える可能性がある」と書いた。

状況のもう 1 つの側面は、脆弱性の原因です。 RapidReset は特定のソフトウェアには存在しませんが、Web ページの読み込みに使用される HTTP/2 ネットワーク プロトコルの仕様に存在します。 HTTP/2 は、Internet Engineering Task Force (IETF) によって開発され、約 8 年間存在しており、従来のインターネット プロトコル HTTP のより高速かつ効率的な後継です。 HTTP/2 はモバイル デバイス上でより適切に動作し、使用する帯域幅が少ないため、広く採用されています。 IETF は現在 HTTP/3 を開発中です。

CloudflareのLucas PardueとJulien Desgatsは今週次のように書いています: この攻撃はHTTP/2プロトコルの潜在的な弱点を悪用しているため、HTTP/2を実装するプロバイダはすべて脆弱になると考えられます。 RapidReset の影響を受けない実装はいくつかあるようですが、Pardue 氏と Desgats 氏は、この問題は「最新の Web サーバーすべて」に広く関係していると強調しました。

Microsoft によってパッチが適用された Windows の脆弱性や Apple によってパッチが適用された Safari の脆弱性とは異なり、各 Web サイトが独自の方法で標準を実装しているため、プロトコルの欠陥が中央機関によって修正される可能性は低いです。主要なクラウド サービスや DDoS 防御プロバイダーが自社サービスの修正プログラムを作成すると、インフラストラクチャを使用するすべてのユーザーを保護するのに大いに役立ちます。ただし、独自の Web サーバーを実行する組織や個人は、独自の保護手段を開発する必要があります。

オープンソース ソフトウェアに長年携わってきたソフトウェア サプライ チェーン セキュリティ企業である ChainGuard の CEO、Dan Lorenc 氏は、多くの Web サーバーが車輪の再発明ではなく、他の場所から HTTP/2 実装をコピーした可能性があるため、オープンソースの可用性とコード再利用の普及 (常にすべてをゼロから構築するのではなく) がいかに有利であるかを示す例としてこの状況を指摘しました。これらのプロジェクトが維持される場合、クイック リセット修正が開発され、ユーザーに展開されます。

ただし、これらのパッチが完全に採用されるまでにはまだ数年かかります。また、独自の HTTP/2 を最初から実装するサービスの中には、他にパッチが入手できないものもまだ存在するでしょう。

「大手テクノロジー企業がこの問題を知ると、積極的に悪用されることに注意することが重要です」とロレンク氏は述べた。 「運用技術や産業制御などのサービスを麻痺させるために使用される可能性があります。恐ろしいことです。」

最近、Google、Cloudflare、Microsoft、Amazon に対する DDoS 攻撃が相次ぎ、その規模の大きさに警鐘が鳴らされましたが、両社は最終的には永続的な被害を与えることなく攻撃を軽減しました。しかし、ハッカーは攻撃を実行することにより、プロトコルの脆弱性の存在とそれを悪用する方法を明らかにしました。これは、セキュリティ コミュニティで「バード ゼロデイ」として知られる因果関係です。パッチ適用プロセスには時間がかかり、一部の Web サーバーは長期間脆弱なままになりますが、攻撃者が脆弱性を悪用してカードを提示しなかった場合よりも、インターネットの安全性は向上しています。

Lorenc 氏は次のように述べています。「このような脆弱性が標準規格に現れるのは異例です。これは新しい脆弱性であり、最初に発見した人にとっては貴重な発見です。彼らはそれを保持していた可能性もあれば、売却して大儲けした可能性もあります。なぜ誰かがこの脆弱性を「燃やす」ことに決めたのか、私はいつも興味がありました。」