Zero-Day-Schwachstellen sind Sicherheitslücken in Software, Betriebssystemen oder Protokollen, die von den Entwicklern oder Anbietern noch nicht erkannt oder behoben wurden. Der Begriff „Zero-Day“ bezieht sich auf den Zeitpunkt, an dem die Schwachstelle entdeckt wird. Bis dahin hatten die Entwickler noch keine Gelegenheit, einen Patch oder eine Lösung dafür bereitzustellen.
Diese Schwachstellen sind besonders gefährlich, da Angreifer sie ausnutzen können, ohne dass die Opfer Zeit haben, sich davor zu schützen. Zero-Day-Schwachstellen sind daher äußerst begehrt und können in verschiedenen Arten von Angriffen eingesetzt werden.
Nicht umsonst gibt es sogenannte Bug-Bounty-Programme, die bis zu 2.500.000 US-Dollar Belohnung für das Aufspüren und Melden von Schwachstellen zahlen.
Eine erst kürzlich entdeckte und öffentlich gemeldete Schwachstelle sind die HTTP/2-basierten Distributed-Denial-of-Service (DDoS)-Angriffe, die eine als „Rapid Reset“ bezeichnete Technik nutzen.
Der als „Rapid Reset“ (CVE-2023-44487) bezeichnete Angriff wurde von August 2023 bis Oktober 2023 aktiv ausgenutzt und kürzlich von Forschern und Anbietern (Google, Amazon und Cloudflare) aufgedeckt. Dieser Angriff nutzt eine Schwachstelle im HTTP/2-Protokoll aus, indem sie HTTP/2-Streams mithilfe von RST_STREAM-Frames schnell beendet.
Bei HTTP/1 folgt auf jede Anfrage jeweils eine eigene Antwort des Servers. Das Schließen der Verbindung ist demnach die einzige Methode, um eine Anfrage abzubrechen. Der Client hatte keine andere Möglichkeit, dem Server seinen Abbruchwunsch mitzuteilen.
Mit dem HTTP/2-Protokoll gibt es jedoch eine effizientere Methode. HTTP/2 ist voll multiplexfähig, so dass mehrere Dateien und Anfragen gleichzeitig übertragen werden können, im Gegensatz zu HTTP1. HTTP/2 verwendet dieselbe Verbindung für die Übertragung verschiedener Dateien und Anfragen (Keepalive) und vermeidet so den Aufwand, für jede Datei, die zwischen einem Client und einem Server übertragen werden muss, eine neue Verbindung zu öffnen.
Wenn der Client die Anfrage abbrechen möchte, kann er ein sogenanntes RST_STREAM senden. Zwar kann HTTP1.1 auch Keepalive und damit mehrere Dateien über eine Verbindung übertragen, nur eben nicht gleichzeitig.
Sobald der Server dieses RST_STREAM empfängt, stoppt er den entsprechenden Stream. Dabei bleibt die Verbindung weiterhin aktiv und kann für andere Anfragen genutzt werden. Anfragen und Antworten, die gleichzeitig mit der abgebrochenen Anfrage laufen, werden nicht beeinträchtigt.
Bei der HTTP/2-Rapid Reset-Attacke wird dieser Vorgang in einem Muster automatisiert, bei dem Anfragen in schneller Folge gesendet und abgebrochen werden. Oftmals gibt es keine serverseitige Begrenzung für die maximale Anzahl gleichzeitig aktiver Streams pro Verbindung. Das Ergebnis ist ein DDoS-Angriff, der Server und Anwendungen, die das standardmäßige HTTP/2-Protokoll verwenden, überlasten kann.
Die Auswirkungen dieser Schwachstelle waren erheblich und führten im Spätsommer 2023 zu rekordverdächtigen DDoS-Angriffen. Die „Rapid Reset“-Technik ermöglicht es Angreifern, Server ohne Erreichen der konfigurierten Schwelle zu überlasten, wodurch Millionen von Anfragen pro Sekunde erzeugt werden.
Eine dieser Auswirkungen bekam im August 2023 Google zu spüren. Dort konnte erfolgreich den bisher größten DDoS-Angriff aller Zeiten abgewehrt werden. Diese Attacke erreichte eine beeindruckende Rate von 398 Millionen Anfragen pro Sekunde, was siebenmal größer ist als der bisherige Rekordhalter aus dem Jahr 2022.
Google selbst stellte einen Vergleich an, um das Ausmaß dieses Angriffs zu verdeutlichen: Während des Angriffs wurden innerhalb von nur zwei Minuten auf Google Cloud mehr Anfragen pro Sekunde gestellt als auf die Online-Enzyklopädie Wikipedia im gesamten Monat September 2023.
Die Schwachstelle im HTTP/2-Protokoll ist besonders gefährlich, da sie es Angreifern ermöglicht, DDoS-Angriffe mit einer vergleichsweise kleinen Botnetz-Infrastruktur durchzuführen. Selbst kleinere Botnetze können enorme Mengen von Anfragen generieren, die nahezu jeden Server oder jede Anwendung, die HTTP/2 unterstützt, überlasten können.
Das hängt mit der Tatsache zusammen, dass die eingehenden Streams schneller zurückgesetzt werden, als weitere Streams eintreffen. Das ermöglicht es dem Angreifer, den Server zu überlasten, ohne jemals seine konfigurierte Obergrenze zu erreichen. Für Netzwerke ohne angemessene Schutzmaßnahmen stellt das eine erhebliche Bedrohung dar.
Neben diesen offensichtlichen Gefahren lauern noch weitere Risiken. Unternehmen stehen oftmals vor der Herausforderung, ihre Systeme möglichst schnell zu patchen und auf den neuesten Stand zu bringen. Mit jeder neuen Schwachstelle, die entdeckt wird, wächst der Druck auf die firmeneigenen IT-Sicherheitsteams und die Verantwortlichen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat allein für das erste Quartal 2023 mehr als 1.100 kritische Schwachstellen gemeldet.
Bei einer solch großen Anzahl potenzieller Schwachstellen ist es für Unternehmen schwierig, sich zu schützen. Das gilt besonders für Zero-Day-Angriffe, da sie bis zum „Tag null“ vollkommen unbekannt waren und es bis dahin keine bekannten Abwehrmaßnahmen oder Patches für diese Schwachstellen gab.
Neben einer guten Notfallvorbereitung, der kontinuierlichen Sensibilisierung der Mitarbeitenden sowie eine regelmäßige Überprüfung der Sicherheitsmaßnahmen sollten Unternehmen eine Kombination aus proaktiven Maßnahmen und bewährter Sicherheitspraxis anwenden, um sich vor Zero-Day DDoS-Angriffen zu schützen:
Die Secure CDN-Lösung von Link11 bietet Ihnen wie die Web DDoS Protection einen umfangreichen Schutz vor dem HTTP/2-Rapid Reset-Angriff. Die zugrundeliegende Technik ist standardmäßig auf eine begrenzte Anzahl von gleichzeitigen HTTP/2-Streams und Keepalive-Verbindungen begrenzt.
Diese Limitierung schützt vor der beschriebenen Schwachstelle, da es die übermäßige Anzahl von RST_STREAM-Frames verhindert, die für den Angriff erforderlich sind. Die Standard-Einstellungen für Keepalive-Verbindungen stellen sicher, dass keine übermäßigen Ressourcen verbraucht werden, wenn Streams zurückgesetzt werden.
Der Link11-DDoS-Schutz erkennt böswillige Aktivitäten und schädlichen Datenverkehr und kann umgehend die entsprechenden Angreifer blockieren. Selbst wenn der Ursprungsserver nicht reagiert, bleibt das CDN in der Lage, Ihre Inhalte weiterhin zu verteilen.
Insgesamt gewährleisten die eingesetzte Konfiguration und die Integration des DDoS-Schutzes, dass das CDN-Produkt robust gegenüber der beschriebenen Schwachstelle ist und die Leistung sowie die Verfügbarkeit der Dienste aufrechterhalten werden. Selbst wenn der Ursprungsserver nicht reagiert, bleibt das CDN in der Lage, Ihre Inhalte weiterhin zu verteilen.
Zudem lässt sich das CDN mit weiteren Link11-Sicherheitslösungen wie den Layer 7 DDoS-Schutz, Zero Touch WAF oder Bot-Management problemlos kombinieren. Auf diese Weise erhalten Sie einen umfassenden Schutz auf sämtlichen Ebenen.
Sie wollen Sicherheitsmaßnahmen auf dem neusten Stand, automatisierten Schutz und mehr zu unseren Produkten wissen? Sprechen Sie uns jederzeit gerne an.
